Ubuntu 18.04 LTS sunucusu nasıl bir rsyslog sunucusu olarak yapılandırılır?

Ubuntu 18.04 LTS sunucusunun bir rsyslog sunucusu olarak yapılandırılması

Ubuntu sistemleri, çeşitli cihazlardan Syslog'ları toplayarak analiz eden merkezi Syslog sunucuları olarak hareket edecek biçimde yapılandırılabilir. Aşağıda Ubuntu 18.04 LTS'de çalıştırıla merkezi bir rsyslog sunucusunu yapılandırmak için adımlar verilmiştir.

• Aşağıdaki komutu çalıştırarak rsyslog'u Ubuntu işletim sistemine yükleyebilirsiniz,
apt-get install rsyslog -y
• rsyslog'un Etkin: etkin (çalışıyor) durumunda olup olmadığını görmek için aşağıdaki komutu girin,
systemctl status rsyslog
• TCP ve UDP bağlantılarını etkinleştirmek için /etc/rsyslog.conf dosyasında aşağıdaki satırlar için arama yapın ve bunların yorumlarını kaldırın,
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514

Not: Bağlantı noktası 514, UDP ve TCP'nin varsayılan bağlantı noktasıdır. İstediğiniz zaman bağlantı noktası numarasını değiştirebilirsiniz.
• Daha sonra, aşağıdaki komutu kullanarak bağlantı noktası 514'ü kullanabilecek IP'lere, etki alanlarına ve alt ağlara izinler verin:
$AllowedSender TCP
$AllowedSender UDP

• Aşağıdaki komutu kullanarak alınan günlüklerin depolanacağı dosyaları belirten bir şablon oluşturun,
$template remote-incoming-logs,
"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs

• Yapılandırmayı kaydedin ve kapatın.
• Rsyslog daemon'unuzun bağlantı noktası 514'ü dinleyip dinlemediğini doğrulamak için şu komutu çalıştırın,
netstat -4altunp | grep 514 and see if the output shows LISTEN against TCP AND UDP fields.
• Toplanan günlükleri gerçek zamanlı olarak görüntülemek için rsyslog sunucusuna şu komutu girin,
ls /var/log/rsyslog-client/

rsyslogd dosyaları nasıl izlenir?

Farklı dosyalar arasında günlükleri yetkilendirme hataları ve olağan dışı sistem yapılandırma değişiklikleri gibi kritik olaylar açısından yorumlamanız ve analiz etmeniz gerektiğinden sadece rsyslog'ları görüntülemek yeterli olmayacaktır. Syslog'lar, tüm ile ilgili olarak kimin neyi, nereden ve ne zaman yaptığına dair temel bilgileri içerir. Bu bilgiler, ağ cihazlarınızdaki anormal etkinlikleri tanımlamanızı mümkün kılar, tehditleri azaltmanıza ve saldırıları önlemenize yardımcı olur. Bunu manuel olarak yapmaya çalışmak oldukça yorucu olurdu. Günlük yönetimi çözümleri tüm bunları sizin yerinize yapabilir.

Etkili günlük yönetim çözümü EventLog Analyzer, sezgisel raporlar oluşturmak için günlük verilerini yorumlar ve analiz eder. EventLog Analyzer'ı kullanılarak, sapma barındıran davranışları tehdit olarak işaretlemek için uyarılar yapılandırılabilir ve böylece yaklaşan bir saldırı hakkında SMS veya e-posta ile gerçek zamanlı bildirim alabilirsiniz. Daha fazla bilgi edinmek için buraya tıklayın.

Sırada ne var?