Local Syslog’u Remote (KIWI) Syslog’a Yönlendirme
Bu makalede linux kerneline sahip tüm OS’larda local syslog’dan remote syslog server’a yönlendirmesinden bahsedeceğim.
Gereksinimlerimiz ve Kullanacağımız Araçlar
KIWI Syslog’u krabileceğiniz İşletim Sistemi: Windows XP,7,8
Bu linkt’ten indirebilirsiniz (KIWIServer) (http://www.kiwisyslog.com/kiwi-syslog-server-overview)
Putty Console Bu link’ten indirebilirsiniz (http://www.chiark.greenend.org.uk/~sgtatham/putty//)
Öncelikle bunun yapmamızdaki amaç bilindiği üzere bazı firmalarda güvenlik ile ilgili bir takım sorunlar yaşanmakta . Bu konudan yola çıkarak tüm network hareketlerini başka bir sunucuda uzun tarihli log olarak barındırmak ve sonra bu logların analizlerini yapmak.
Syslog Konfigurasyon komut satırına vi editörü ile girerek başlıyoruz. “vi /etc/syslog.conf” Yönlendirmelerin tanımlanacağı konfigürasyon dosyası’nı açıyoruz ve tanımlamalara başlıyoruz.
Şekil -1
Uzak Sunucu (KIWI Server Destination Adress) Destination Kısımını “file”’dan – “remote”’a şeklinde değiştiriyoruz . Diğer Remote bilgilerini Şekil-3 teki gibi kendimize konfigürasyonumuza göre değiştiriyoruz. “Remote=loghost:514 Enter “Remote Server Ip Adress” Syslog Port Default ”514”
Şekil -2 (Yönlendirmelerin tanımlanacağı konfigürasyon dosyası’nın içeriği)
Şekil-3
Sıradaki işlem “Route Table’a Statik Route tanımlama” Bunu yapmamızın nedeni ; Paketlerin hangi Gateway’i kullanarak hangi uzak makinaya gidecek olmasını belirlemek.
“ip route add ”RemoteSyslogServerIp” via “GatewayIp” table 220 dev eth0”
Şekil -4
Şekil -5’te servisleri stop ve start ediyoruz. Stop&Start: STOP “/etc/init.d/syslog stop” START: “/etc/init.d/syslog start” (Bunu yapmamızın nedeni hem yaptığımız değişikliklerin geçerli olması hemde kontrol edilmesi.)
Şekil -5
Şekil -6’da Konfigürasyon işlemleri tamamlandı ve yaptığımız işlemlerin geçerliliğini doğrulamak için “ps” komutu ile gözden geçiriyoruz.
Şekil -6
Şekil-7
Şekil-7’de Görüldüğü gibi log’lar tanımlamasını yaptığımız uzak sunucuya düşmekte. Host Name Alanı Uzak sunucuya gelen paketler kime ait olduğunu yani kimden geldiğini gösteriyor. Bunun dışında kontrol amaçlı text mesajları göndermek için aşağıdaki komutları kullanabilirsiniz.
Kontrol amaçlı mesajlar gönderebilirsiniz. Aşağıdaki komutları kullanarak Putty Konsolu üzerinden mesaj gönderebilirsiniz.Bunu yapmak için “logger” komutunu kullanacağız.
logger “MERHABA COZUMPARK”
(Tag)Etiket Mesajları Gönderebilmek için;
logger -t [MERHABA] “COZUMPARK”
Bu şekilde log göndermemin nedeni multiple server ortamlarında log ayıklamanız daha kolay olacaktır.Bir nevi etiket şeklinde
(Warn )Uyarı Mesajları Gönderebilmek için.;
logger -t [COZUMPARK] -p user.warn “SAFE ZONE COZUMPARK”
Şimdilik anlatacaklarım bu kadar daha sonra KIWI Syslog Server kurulumundan bahsedeceğim.