Sådan konfigureres en Ubuntu 18.04 LTS-server som rsyslog-server

På denne side

  • Sådan konfigureres en Ubuntu 18.04 LTS-server som rsyslog-server
  • Sådan overvåges rsyslogd-filer

Sådan konfigureres en Ubuntu 18.04 LTS-server som rsyslog-server

Ubuntu-systemer kan konfigureres til at fungere som centrale syslog-servere, der indsamler og analyserer syslogs fra forskellige andre enheder. Herunder kan du se trinnene til at konfigurere en central rsyslog-server, der kører på Ubuntu 18.04 LTS.

  • Du kan installere rsyslog på Ubuntu OS ved at køre kommandoen
    • apt-get install rsyslog -y
  • Indtast følgende kommando, for at se om status på rsyslog er Active: active (running):
    • systemctl status rsyslog
  • Søg efter følgende linjer i /etc/rsyslog.conf, og fjern kommentartegnene fra dem for at aktivere TCP- og UDP-forbindelser:
    • $ModLoad imudp
    $UDPServerRun 514
    $ModLoad imtcp
    $InputTCPServerRun 514
    Bemærk: Port 514 er standardporten for UDP og TCP. Du kan til enhver tid ændre portnummeret.
  • Giv derefter tilladelser til de IP'er, domæner og undernet, der må bruge port 514, med kommandoen:
    • $AllowedSender TCP
    $AllowedSender UDP
  • Opret en skabelon, der angiver de filer, som de modtagne logfiler skal gemmes under, med følgende kommando:
    • $template remote-incoming-logs,
    "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
    *.* ?remote-incoming-logs
  • Gem konfigurationen, og luk.
  • Hvis du vil tjekke, om din rsyslog-daemon lytter på port 514, skal du køre følgende kommando:
    • netstat -4altunp | grep 514 and see if the output shows LISTEN against TCP AND UDP fields.
  • For at se logfilerne indsamlet i realtid skal du indtaste følgende kommando på rsyslog-serveren:
    • ls /var/log/rsyslog-client/

Sådan overvåges rsyslogd-filer

Det er ikke nok bare at kigge på rsyslogs, da du er nødt til at fortolke og analysere logfilerne på tværs af forskellige filer for alvorlige hændelser som autorisationsfejl og usædvanlige ændringer af systemkonfigurationen. Syslogs indeholder vigtige oplysninger om, hvem der gjorde hvad, hvorfra og hvornår for alle hændelser. Denne indsigt giver dig mulighed for at identificere unormale aktiviteter i dine netværksenheder og hjælper med at afbøde trusler og forhindre angreb. Det ville være omstændeligt at gøre det manuelt. En logadministrationsløsning kan gøre alt dette for dig.

EventLog Analyzer, en effektiv logadministrationsløsning, fortolker og analyserer logdata for at generere intuitive rapporter. Advarsler kan konfigureres med EventLog Analyzer til at markere afvigende adfærd som trusler, og du kan få besked i realtid via SMS eller e-mail om et forestående angreb. Klik her for at få mere at vide.

Hvad så nu?

Forenkl din rsyslog-administration på Ubuntu med EventLog Analyzers centraliserede overvågning og automatiserede rapportering.

DownloadFå en rundvisning i produktet