페도라OS syslogd 원격서비스 문제?
작성자 정보
- 임근식 작성
- 작성일
컨텐츠 정보
- 2,016 조회
- 1 댓글
- 0 추천
- 목록
본문
tcpdump으로 원인 분석이 안될 경우 아래내용을 참고해서 하나하나 다시
한번 확인해보시면 해결에 실마리를 찾으실수 있을 것입니다.
아래에 syslogd + logcheck(log reporter) 연동(?) 해서 제가 사용하는 내용이니
도움이 되시길....
원격로그서버syslogd + 로그리포터logwatch 가이드
================================================
(UDP 514 port는 syslog가 사용하고 있다)
- 목차 -
1. 설치환경
2. 로그 메세지를 보내는 리눅스 서버
3. 로그 메세지를 받는 리눅스 서버 (hostname1)
4. Packet 송/수신의 정상 여부 확인
5. Logcheck 설정 (LOG REPORTING)
●1. 설치환경
. OS: Redhat Linux 7.3
. Kernel: 2.4.31
. Tools : sysklogd-1.4.1-8
. packet을 보내는 리눅스 서버: 192.168.0.5
. packet을 받는 리눅스 서버(로그서버): 192.168.0.10
●2. 로그 메세지를 보내는 리눅스 서버
(1) /etc/syslog.conf 파일 수정
192.168.1.5#> vi /etc/syslog.conf
kern.* @hostname
*.info;mail.none;news.none;authpriv.none;cron.none @hostname
----[작성 예제]-------------------------------------------------------------
# 간단하게 모든 메세지를 원격 호스트로 포워딩.
*.* @hostname1
# 모든 커널 메세지를 원격 호스트로 포워딩.
kern.* @hostname1
# 로컬에도 기록하면서 원격으로도 기록을 남김 (실패할 경우 대비)
kern.crit @hostname1
kern.crit /dev/console
----------------------------------------------------------------------------
(2) hosts 파일 수정
DNS 등록되지 않은 IP 를 사용하시는 경우, 각각의 머신에대한 도메인 네임과 IP를
/etc/hosts 를 임의로 등록.
192.168.1.5#> vi /etc/host
192.168.1.10 hostname1 # Log Server
(3) syslog 재실행
#> service syslog restart or /etc/rc.d/init.d/syslog restart
●3. 로그 메세지를 받는 리눅스 서버 (hostname1)
(1) -r 옵션으로 syslogd 실행
192.168.1.10#> vi /etc/sysconfig/syslog ( -r 옵션을 주어 syslogd 실행되도록 수정.)
SYSLOGD_OPTIONS="-m 0 -r"
(2) /etc/syslog.conf 확인, 주석제거 및 로그저장될 파일 명시(/var/log/messages)
192.168.1.10#> vi /etc/syslog.conf
kern.* /var/log/messages
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
(3) syslog 재실행
192.168.1.10#> service syslog restart
●4. Packet 송/수신의 정상 여부 확인
-패킷을 보내는 리눅스 서버 : 111.111.111.111
-패킷을 받는 리눅스 서버 : 222.222.222.222
(1) 패킷이 정상적으로 송신되는지 테스트
패킷을 보내는서버#> tcpdump dst host 222.222.222.222 and dst port 514 [enter]
(2) 패킷을 정상적으로 수신하는지 테스트
패킷을 받는 리눅스 서버#> tcpdump src host 111.111.111.111 and dst port 514 [enter]
●5. Logcheck 설정 (LOG REPORTING)
아무리 좋은 원격 로그 서버를 만들어놔도 직접 모니터링 할 수 없다면 큰 의미를 주지 못한다.
* Logcheck - www.psionic.com (추천)
* Swatch - www.swatch.org
logcheck는 보안 위반사항이나 비정상적인 행위를 발견하기 위해 시스템 로그파일들을 자동으로
정검해 주는 패키지이며, 로그파일 중 마지막에 읽은 위치를 기억해 주는 logtail이라는 프로그램을
사용하여 다음번 점검시 중복된 검사를 피하기 위해 사용되어짐.
192.168.0.10#> wget http://www.sionic.com/abacus/logcheck/logch-1.1.1.tgz
192.168.0.10#> tar xvzf logch-1.1.1.tgz
192.168.0.10#> cd logcheck-1.1.1/systems/linux
192.168.0.10#> vi logcheck.sh
# Person to send log activity to.
SYSADMIN=root ( 42행에 로그 파일 내용을 수신할 관리자의 이메일을 입력.)
192.168.0.10#> cd ../../
192.168.0.10#> make linux
192.168.0.10#> cd /usr/local/etc ( logcheck관련 파일들이 존재함. )
* logcheck.sh 파일을 CRON을 이용해 주기적으로 작동시키기.
---------------------------------------------------------
# 매시간 30분 마다 서버의 이상여부를 체크
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
30 * * * * /usr/local/etc/logcheck.sh
logtail 프로그램이 검사한 로그는 다시 검사하지 않기 때문에 변동사항이
없을 경우에는 메일을 발송하지 않음.
이상.
관련자료
-
이전
-
다음
이민수님의 댓글
- 이민수
- 작성일