ADMINISTRAO DE REDES I

LINUX
Syslog
Frederico Madeira
LPIC-1, CCNA
fred@madeira.eng.br
www.madeira.eng.br
Syslog
- Logs do sistema so recursos importantes para identificar tentativas de
invaso, operaes indevidas, etc..
- Servidor de Log's do Linux, registrando eventos do sistema
- Controla a maior parte dos logs do sistema, com algumas excees
como o samba e Xorg
- Pode armaenar os logs em ar!uivos locais ou envi"-los atrav#s da
rede para um servidor s$slog.
- Pode recebe logs via rede atuando como Servidor de Logs%
- &r!uivo de con'igurao( /etc/syslog.conf )*etc*rs$slog.con' + pacote
rs$slog, padro no ,edora -%
- .oa parte dos logs so armaenados em /var/log/
Syslog.conf
- Con'igurao em dois campos( Seletor e ao
- Campo Seletor dividido em 'acilidade )'acilit$% e prioridade)priorit$%
Facilidade: Subsistema originador da mensagem
Facilidade Descrio
cron
/ventos de todos os servidores
/ventos do servidor de not0cias
local1 /ventos locais
local2
aut3 /ventos de seguraa
aut3priv
/ventos de controle de acesso )conexes
estabelecidas no servidor ,4P, 555, etc%
6ern 7ensagens do 8ernel
/ventos do servidor cond
daemon
user 7ensages dos usu"rios
ne9s
s$slog /ventos do servidor s$slogd
mail /ventos do servidorde e-mail
/ventos de boot
Syslog.conf
Prioridade( :ravidade da mensagem.
Prioridade Descrio
7ensagens de in'ormao
7ensagens de noti'icao
7ensagens de advert;ncia
7ensagens de erro
7ensagens Cr0ticas
7ensagens de alerta
7ensagens de emerg;ncia
debug 7ensagens de atividades de debug
in'o
notice
9arning
err
crit
alert
emerg
Menor criticidade
Menor criticidade
Syslog.conf
- Wildcard: Caractere especial
Descrio
<en3uma prioridade
= 4odos as 'acilidades ou prioridades
> ?estringe uma 'acilidade ou prioridade
-
@
, Concatena mAltiplas 'acilidades
B Concatena mAltiplos seletores
Wildcard
none
/xceo a determinada 'acilidade ou
prioridade
/speci'ica 'acilidade ou prioridades !ue no
devem ser registrados
Syslog.conf
- Campo ao de'ine o destino dado a mensagem. <ormalmente
enviado para ar!uivos em /var/log/
@host + envia para um servidor s$slog )utilia a porta CDE*FGP%
- &pHs alteraes, # necess"rio restart do s$slog
- :erao manual de eventos atrav#s do comando logger )-p especi'ica
'acilidade.prioridade%
- ?otao dos logs atrav#s de logrotate )*etc*logrotate.con'% + Corte,
compresso e envio por email
Syslog.conf
Exe!los
I /nvia todas as mensagens para a console
"ern.# /dev/console
I /nvia todas as mensagens com prioridade in'o ou superior para o ar!uivo
I *var*log*messages, exceto as mensagens de mail, ne9s e autenticao
#.info$ail.none$ne%s.none$a&th!riv.none /var/log/essages
I /nvia todas as mensages de autenticao para *var*log*secure
a&th!riv.# /var/log/sec&re
I /nvia todas as mensages de mail para o ar!uivo *var*log*maillog
ail.# /var/log/aillog
I/nvia todas as mensages com prioridade emerg;ncia para todos
#.eerg #
I /nvia todas as mensages de log para o servidor de logs
#.# @'().'*+.'().'
,og -eoto
.onfig do Servidor
Para !ue um servidor s$slog receba logs remotos de outras m"!uinas, #
necess"rio ativar esse recurso no daemon do s$slog, para tanto, basta
seguir os seguintes passos(
'. Editar o ar/&ivo /etc/sysconfig/syslog
JrootKlocal3ost LMI vi *etc*s$scon'ig*s$slog
). 0dicionar a o!o -r na vari1vel S2S,34D53P6738S
&ntes( SNSLO:GPOP4QO<S>R-m 1R
Gepois( SNSLO:GPOP4QO<S>R-r -m 1R
9. -einiciar o servio
JrootKlocal3ost LMI *etc*init.d*s$slog restart
ou
JrootKlocal3ost LMI services s$slog restart
,og -eoto
.onfig do Servidor
Para validar a con'igurao, observe a mensagem de log gerado pelo rs$slog.
:root@localhost sysconfig;< tail -f /var/log/essages
I Sem parSmetro -r
7a$ DT 11(U1(TV local3ost rs$slogd( Jorigin so't9are>Rrs$slogdR
s9Wersion>RT.1.TR x-pid>RT2EUUR x-in'o>R3ttp(**999.rs$slog.comRMJx-con'igQn'o
&d!-ece!tion=>8o> &d!Port=>?'@R tcp?eception>R<oR tcpPort>R1RM restart
I Com parSmetro -r
7a$ DT 11(UD(1U local3ost rs$slogd( Jorigin so't9are>Rrs$slogdR
s9Wersion>RT.1.TR x-pid>RT2E2UR x-in'o>R3ttp(**999.rs$slog.comRMJx-con'igQn'o
&d!-ece!tion=>2es> &d!Port=>?'@> tcp?eception>R<oR tcpPort>R1RM restart
ExercAcios
'. Con'igurar o s$slog para logar mensagens da facilidade local' com
!rioridade info e notice no ar!uivo /var/log/local'.log.
). Con'igure o seu linux coo servidor syslog, permitido a recepo
de logs vindos da rede.
9. ,aa com !ue todos os logs de erro de a&tenticao seXam
direcionados !ara o servidor ao se& lado.
ADMINISTRAO DE REDES I
LINUX
Syslog
Frederico Madeira
LPIC-1, CCNA
fred@madeira.eng.br
www.madeira.eng.br