Triển khai Kiwi Syslog

  • Thread starter Thread starter root
  • Ngày gửi Ngày gửi

root

Specialist
Giới thiệu Syslog

1. Overview


  • Syslog được phát triển năm 1980 bởi Eric Allman, nó là một phần của dự án Sendmail, và ban đầu chỉ được sử dụng duy nhất cho Sendmail.
  • Syslog hiện nay trở thành giải pháp khai thác log tiêu chuẩn trên Unix-Linux cũng như trên hàng loạt các hệ điều hành khác và nhiều thiết bị mạng hỗ trợ syslog như: routers, switches, application servers, firewalls, và các thiết bị mạng khác.
  • Trong năm 2009, Internet Engineering Task Forec (IETF) đưa ra chuẩn syslog trong RFC 5424
  • Syslog ban đầu sử dụng UDP, điều này là không đảm bảo cho việc truyền tin. Tuy nhiên sau đó IETF đã ban hành RFC 3195 Reliable Delivery for syslog - đảm bảo tin cậy cho syslog và RFC 6587 Transmission of Syslog Messages over TCP - Truyền tải thông báo syslog qua TCP. Điều này có nghĩa là ngoài UDP thì giờ đây syslog cũng đã sử dụng TCP để đảm bảo an toàn cho quá trình truyền tin.
  • Giao thức syslog cho phép các thiết bị mạng gửi log đến các server lưu trữ log tập trung. Chúng ta có thể xây dựng một (OOB) mạng đặc biệt out-of- band cho mục đích này .
  • Dịch vụ ghi syslog cung cấp ba chức năng chính :
    • Khả năng thu thập thông tin đăng nhập để theo dõi và xử lý sự cố
    • Khả năng chọn các loại thông tin đăng nhập mà bị ghi lại
    • Khả năng xác định những điểm đến của thông điệp syslog bị ghi lại

  • Log file thường thường được lưu dưới dạng “clear text” chúng ta có thể dễ dàng xem chúng.
2. Log tập trung

  • Để quản lý log một cách tốt hơn, xu thế hiện nay sẽ sử dụng log tập trung. Log tâp trung là quá trình tập trung, thu thập, phân tích... các log cần thiết từ nhiều nguồn khác nhau về một nơi an toàn để thuận lợi cho việc phân tích, theo dõi hệ thống.
3. Khó khăn trong triển khai hệ thống log tập trung

  • Nội dung log không đồng nhất. Giả sử log từ nguồn 1 có có ghi thông tin về ip mà không ghi thông tin về user name đăng nhập mà log từ nguồn 2 lại có -> khó khăn trong việc kết hợp các log với nhau để xử lý vấn đề gặp phải.
  • Định dạng log cũng không đồng nhất -> khó khăn trong việc chuẩn hóa
  • Đảm bảo tính toàn vẹn, bí mật, sẵn sàng của log.
    • Do có nhiều các rootkit được thiết kế để xóa bỏ logs.
    • Do log mới được ghi đè lên log cũ. -> Log phải được lưu trữ ở một nơi an toàn và phải có kênh truyền đủ đảm bảo tính an toàn và sẵn sàng sử dụng để phân tích hệ thống.
4. Lợi ích của hệ thống log

  • Các file log có thể nói cho bạn bất cứ thứ gì bạn cần biết, để giải quyết các rắc rối mà bạn gặp phải miễn là bạn biết ứng dụng nào, tiến trình nào được ghi vào log nào cụ thể.
  • Tác dụng của log là vô cùng to lớn, nó giúp IT chúng ta theo dõi hệ thống của mình tôt hơn, hoặc giải quyết các vấn đề gặp phải với hệ thống hoặc service hay đôi khi là bằng chứng trước tòa khi có ai đó làm điều gì đó mờ ám hay bậy bạ trong hệ thống của chúng ta. Điều này đặc biệt quan trọng với các hệ thống cần phải online 24/24 để phục vụ nhu cầu của mọi người dùng.
5. Cấu trúc Syslog

  • Trong hầu hết hệ thống Linux thì /var/log là nơi lưu lại tất cả các log.

  • Syslog là một giao thức client/server dùng để chuyển log đến máy nhận log. Máy nhận log thường được gọi là syslogd, syslog daemon hoặc syslog server.

  • Syslog có thể gửi qua UDP hoặc TCP. Các dữ liệu được gửi dạng cleartext. Syslog dùng port 514.


  • Nguồn sinh ra log
[TABLE="class: grid, width: 500, align: center"]
[TR]
[TD]
Facility Number
[/TD]
[TD]
Nguồn tạo log
[/TD]
[TD]
Ý nghĩa
[/TD]
[/TR]
[TR]
[TD]0[/TD]
[TD]kernel[/TD]
[TD]Những log mà do kernel sinh ra[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]1[/TD]
[TD="bgcolor: #f8f8f8"]user[/TD]
[TD="bgcolor: #f8f8f8"]Log ghi lại cấp độ người dùng[/TD]
[/TR]
[TR]
[TD]2[/TD]
[TD]mail[/TD]
[TD]Log của hệ thống mail[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]3[/TD]
[TD="bgcolor: #f8f8f8"]daemon[/TD]
[TD="bgcolor: #f8f8f8"]Log của các tiến trình trên hệ thống[/TD]
[/TR]
[TR]
[TD]4[/TD]
[TD]auth[/TD]
[TD]Log từ quá trình đăng nhập hệ hoặc xác thực hệ thống[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]5[/TD]
[TD="bgcolor: #f8f8f8"]syslog[/TD]
[TD="bgcolor: #f8f8f8"]Log từ chương trình syslogd[/TD]
[/TR]
[TR]
[TD]6[/TD]
[TD]lpr[/TD]
[TD]Log từ quá trình in ấn[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]7[/TD]
[TD="bgcolor: #f8f8f8"]news[/TD]
[TD="bgcolor: #f8f8f8"]Thông tin từ hệ thống[/TD]
[/TR]
[TR]
[TD]8[/TD]
[TD]uucp[/TD]
[TD]Log UUCP subsystem[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]9[/TD]
[TD="bgcolor: #f8f8f8"]
[/TD]
[TD="bgcolor: #f8f8f8"]Clock deamon[/TD]
[/TR]
[TR]
[TD]10[/TD]
[TD]authpriv[/TD]
[TD]Quá trình đăng nhập hoặc xác thực hệ thống[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]11[/TD]
[TD="bgcolor: #f8f8f8"]ftp[/TD]
[TD="bgcolor: #f8f8f8"]Log của FTP deamon[/TD]
[/TR]
[TR]
[TD]12[/TD]
[TD]
[/TD]
[TD]Log từ dịch vụ NTP của các subserver[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]13[/TD]
[TD="bgcolor: #f8f8f8"]
[/TD]
[TD="bgcolor: #f8f8f8"]Kiểm tra đăng nhập[/TD]
[/TR]
[TR]
[TD]14[/TD]
[TD]
[/TD]
[TD]Log cảnh báo hệ thống[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]15[/TD]
[TD="bgcolor: #f8f8f8"]cron[/TD]
[TD="bgcolor: #f8f8f8"]Log từ clock daemon[/TD]
[/TR]
[TR]
[TD]16 - 23[/TD]
[TD]local 0 -local 7[/TD]
[TD]Log dự trữ cho sử dụng nội bộ[/TD]
[/TR]
[/TABLE]



  • Mức độ cảnh bảo
[TABLE="class: grid, width: 500, align: center"]
[TR]
[TD]
Code
[/TD]
[TD]
Mức cảnh báo
[/TD]
[TD]
Ý nghĩa
[/TD]
[/TR]
[TR]
[TD]0[/TD]
[TD]emerg[/TD]
[TD]Thông báo tình trạng khẩn cấp[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]1[/TD]
[TD="bgcolor: #f8f8f8"]alert[/TD]
[TD="bgcolor: #f8f8f8"]Hệ thống cần can thiệp ngay[/TD]
[/TR]
[TR]
[TD]2[/TD]
[TD]crit[/TD]
[TD]Tình trạng nguy kịch[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]3[/TD]
[TD="bgcolor: #f8f8f8"]error[/TD]
[TD="bgcolor: #f8f8f8"]Thông báo lỗi đối với hệ thống[/TD]
[/TR]
[TR]
[TD]4[/TD]
[TD]warn[/TD]
[TD]Mức cảnh báo đối với hệ thống[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]5[/TD]
[TD="bgcolor: #f8f8f8"]notice[/TD]
[TD="bgcolor: #f8f8f8"]Chú ý đối với hệ thống[/TD]
[/TR]
[TR]
[TD]6[/TD]
[TD]info[/TD]
[TD]Thông tin của hệ thống[/TD]
[/TR]
[TR]
[TD="bgcolor: #f8f8f8"]7[/TD]
[TD="bgcolor: #f8f8f8"]debug[/TD]
[TD="bgcolor: #f8f8f8"]Quá trình kiểm tra hệ thống[/TD]
[/TR]
[/TABLE]


  • Định dạng hoàn chỉnh của một thông báo syslog gồm có 3 phần chính như sau
<PRI> HEADER MSG:

  • Độ dài một thông báo không được vượt quá 1024 bytes
    • PRI: xác định mức độ nghiêm trọng của các cảnh báo, các thông điệp. Là 1 số 8bit.
      • 3 bit đầu tiên thể hiện cho tính nghiêm trọng của thông báo.
      • 5 bit còn lại đại diện cho sơ sở sinh ra thông báo.
    • Giá trị Priority được tính như sau: Cơ sở sinh ra log x 8 + Mức độ nghiêm trọng.
    • Ví dụ: thông báo từ kernel (Facility = 0) với mức độ nghiêm trọng (Severity =0) thì giá trị Priority = 0x8 +0 = 0. Trường hợp khác, với "local use 4" (Facility =20) mức độ nghiêm trọng (Severity =5) thì số Priority là 20 x 8 + 5 = 165.
Vậy biết một số Priority thì làm thế nào để biết nguồn sinh log và mức độ nghiêm trọng của nó. Ta xét 1 ví dụ sau:
Priority = 191 Lấy 191:8 = 23.875 -> Facility = 23 ("local 7") -> Severity = 191 - (23 * 8 ) = 7 (debug)

HEADER

  • Phần Header thì gồm các phần chính sau
    • Time stamp -- Thời gian mà thông báo được tạo ra. Thời gian này được lấy từ thời gian hệ thống ( Chú ý nếu như thời gian của server và thời gian của client khác nhau thì thông báo ghi trên log được gửi lên server là thời gian của máy client)
    • Hostname hoặc IP
Message

  • Phần MSG chứa một số thông tin về quá trình tạo ra thông điệp đó. Gồm 2 phần chính
    • Tag field: là tên chương trình tạo ra thông báo
    • Content field: chứa các chi tiết của thông báo

II. Triển khai Kiwi Syslog


1. Cài đặt Kiwi Syslog


  • Mở file cài đặt lên và tiến hành cài đặt Kiwi Syslog Server



  • Ở đây có 2 lựa chọn
    • Cài đặt như một service của windows, nó sẽ tự động chạy service mà không cần có user phải login
    • Cài đặt như một ứng dụng của Windows. Như vậy để chạy được Syslog bạn cần login vào hệ thống và bật ứng dụng này lên.



  • Sử dụng account của hệ thống local để cài đặt




  • Cho phép chúng ta sử dụng trình duyệt web để quản lý, monitor log của Kiwi Syslog




  • Vị trí cài đặt Kiwi Syslog







  • Cài đặt các ứng dụng cần thiết chi Kiwi Syslog









  • Kiwi Syslog cho chúng ta dùng thử 14 ngày.




2. Thuốc cho Kiwi Syslog
- Download thuốc cho Kiwi Syslog:
http://ddl2.digiboy.ir/solarwinds/S....x.x.Keygen.Incl.Patch.1000.Milestone.REPT.7z

  • Giải nén file chứa thuốc ra và chép đè file “Solarwinds.Licensing.Framework.dll” vào thư mục cài đặt của Kiwi Syslog.




  • Chạy chương trình Kiwi Syslog Server Licensing lên






  • Click vào “copy Unique Machine ID” để lấy ID



  • Copy ID “copy Unique Machine ID” ở trên cho vào ô điền “Enter your Unique Machine ID” và nhập username.
  • Nhấn General để chương trình thuốc của chúng ta tạo ra file chứa license cho Kiwi Syslog




  • Quay lại chương trình Kiwi Syslog các bạn trỏ đường dẫn cho nó tới file License mà chúng ta vừa tạo ở trên




  • Cuối cùng chúng ta đã sử dụng thuốc thanh công cho chương trình này







 
Bài viết liên quan
III. Cấu hình Kiwi Syslog trên Client
3.1. Windows

  • Download tools cài đặt agent Kiwi Syslog tại trang chủ. (bản mới thì miễn phí nhưng sẽ có quảng cáo, còn đối với bản cũ sẽ có tính phí)
FREE Log Forwarder for Windows Event Logs | SolarWinds

  • Tiến hành cài đặt SolarWinds Forwarder cho windows để thu thập log và gửi về cho Log server.








  • Trỏ IP của máy client về máy Server để các file log từ hệ thống của client có thể gửi về cho Syslog Server



  • Chúng ta sẽ gửi log về server thông qua port UDP: 514





  • Tiếp theo là chúng ta thực hiện add các thông tin log của client mà chúng ta cần đẩy lên cho Server





  • Thiết lập Priority cho log





  • Chúng ta có thể qua tab test để thử nghiệm hệ thống log mà chúng ta vừa cấu hình



  • Và xem trên Log server thì thấy client đã đổ log về đây thành công


3.2. Switch Cisco 2960

  • Cấu hình gửi log của switch Cisco 2960 về Server Kiwi Syslog.
  • Khai bao địa chỉ IP của Server Kiwi Syslog và mức độ các cảnh báo log được gửi về cho server Kiwi Syslog
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]Switch(config)#logging host 10.10.10.11
Switch(config)#logging trap 7[/TD]
[/TR]
[/TABLE]

  • Trên Switch 2960 thử shutdown và no shutdown interface f0/24 để xem tình trạng switch gửi log về cho Kiwi Syslog Server


3.3. Avaya 425T-24 port


  • Kích hoạt tính năng loggin trên Switch 425T-24
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]425-24T(config)#logging enable
425-24T(config)#logging remote enable
425-24T(config)#logging remote address 10.10.10.10
425-24T(config)#logging remote level informational[/TD]
[/TR]
[/TABLE]

  • Chúng ta sẽ tiến hành thử tạo 1 VLAN và xóa 1 VLAN trên Switch Avaya 425T-24. Sau đó các bạn lên Kiwi Syslog server và kiểm tra các log mà Switch Avaya 425T-24 gửi về cho KIWI Syslog Server
 
Em chào anh,

Em down thuốc cho kiwi syslog server theo link trong bài nhưng chưa có pass giải nén.
Anh có thể cung cấp cho em pass giải nén file 7z được ko ạ?

Em cảm ơn anh vì bài viết rất bổ ích ạ!
 
Em chào anh,

Em down thuốc cho kiwi syslog server theo link trong bài nhưng chưa có pass giải nén.
Anh có thể cung cấp cho em pass giải nén file 7z được ko ạ?

Em cảm ơn anh vì bài viết rất bổ ích ạ!
pass giải nén của bạn nhé: ww.digiboy.ir
 
Hi anh!
Em down thuốc cho kiwi syslog server theo link trong bài nhưng khi giải nén ra nó thiếu hết các file, Anh cho em xin link down lại với!
Thank anh!
 
Back
Top