Build Log server - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Build Log server

[Question] Build Log server	23/07/2012 09:22:41 (+0700) \| #1 \| 267318

traunui
Member

Joined: 28/02/2012 20:23:08
Messages: 62
Offline

Em đang thử build 1 log server, các tools đi kèm em vẫn suggest là open source.
Hiện em đang thử với mô hình
Linux: rsyslog -------
|---------> Log Server: rsyslog + LogAnalyzer
Windows: đang thử với snare, syslog-win -----

Log từ Linux đã đổ về được Log Server nhưng Windows, em search thử với cả snare & syslog-win mà chưa cách nào log đổ về được.

Em có đọc mấy theard cũ trên 4rum, ngoài LogAnalyzer còn có Splunk - nhưng cái này mất phí, Datagram Syslog - cái này em thấy đơn giản nhưng cũng mất phí và bất tiện là ko phải web interface, Graylog thì em chưa thử.

Muốn tham khảo các bác đang xài cái open source nào để build 1 log server.

Cảm ơn.

[Question] Build Log server	23/07/2012 14:52:29 (+0700) \| #2 \| 267346

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

traunui wrote:

Log từ Linux đã đổ về được Log Server nhưng Windows, em search thử với cả snare & syslog-win mà chưa cách nào log đổ về được.

Bạn đang vướng ở đâu?

traunui wrote:

Em có đọc mấy theard cũ trên 4rum, ngoài LogAnalyzer còn có Splunk - nhưng cái này mất phí,

Bản free: http://www.splunk.com/view/SP-CAAAE8W

traunui wrote:

Datagram Syslog - cái này em thấy đơn giản nhưng cũng mất phí và bất tiện là ko phải web interface, Graylog thì em chưa thử.

Thử cái agent của nó xem: http://www.syslogserver.com/syslogagent.html

Let's build on a great foundation!

[Question] Build Log server	23/07/2012 15:33:03 (+0700) \| #3 \| 267348

traunui
Member

Joined: 28/02/2012 20:23:08
Messages: 62
Offline

Splunk bản free e đã cài nhưng chưa nghiên cứu kỹ.
Datagram thì chạy ngon rồi - đưa ra để các bác so sánh cái nào ngon smilie

Với LogAnalyzer thì em vướng việc lấy log từ Windows Server về, em thử Snare nhưng không send được log

[Question] Build Log server	23/07/2012 23:51:11 (+0700) \| #4 \| 267367

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Tạm thời tắt bỏ Firewall để kiểm tra xem log nó có "bắn" về máy tính Windows của mình hay không, nếu không thì kiểm tra cổng UDP 514.

[Question] Build Log server	24/07/2012 07:59:29 (+0700) \| #5 \| 267374

traunui
Member

Joined: 28/02/2012 20:23:08
Messages: 62
Offline

Firewall em đã off từ trước và thấy có log về chính máy windows luôn

[Question] Build Log server	24/07/2012 15:08:28 (+0700) \| #6 \| 267402

traunui
Member

Joined: 28/02/2012 20:23:08
Messages: 62
Offline

Em có làm theo hướng dẫn của link này
http://www.gofixit.com/?p=138

nhưng vẫn ko được.

[Question] Build Log server	24/07/2012 15:34:43 (+0700) \| #7 \| 267406

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

traunui wrote:

Em có làm theo hướng dẫn của link này
http://www.gofixit.com/?p=138

nhưng vẫn ko được.

Hướng dẫn này dùng syslog chứ không phải rsyslog.

Let's build on a great foundation!

[Question] Build Log server	24/07/2012 15:57:05 (+0700) \| #8 \| 267408

traunui
Member

Joined: 28/02/2012 20:23:08
Messages: 62
Offline

quanta wrote:

traunui wrote:

Em có làm theo hướng dẫn của link này
http://www.gofixit.com/?p=138

nhưng vẫn ko được.

Hướng dẫn này dùng syslog chứ không phải rsyslog.

Em có stop rsyslog để test với syslog xem nó có send được log từ win sang không, rồi quay lại áp vô rsyslog thì thấy config của 2 cái giống nhau.

Nhưng log bên win nó lại ghi thẳng vào /var/log/messages chứ không ghi vào được file chỉ định

[root@log win-logs]# service syslog start
Starting system logger: [ OK ]
Starting kernel logger: [ OK ]
[root@log win-logs]# tail -l /var/log/messages
Jul 24 16:51:47 10.30.5.162 domain security[failure] 861 NT AUTHORITY\SYSTEM The Windows Firewall has detected an application lis teninfor incoming traffic.Name: -PathC:\Documents and Settings\Administrator\Desktop\Get\Syslogserver\SyslogReceiver.eProcess ide ntifier: 4148User account: SYSTEMUser domain: NT AUTHORITYService: YesRPC server: NoIP version: IPv4IP protocol: UDPPort number: 2246Allowed: NoUser notified: No
Jul 24 16:51:47 10.30.5.162 domain security[failure] 861 NT AUTHORITY\SYSTEM The Windows Firewall has detected an application lis teninfor incoming traffic.Name: -PathC:\Documents and Settings\Administrator\Desktop\Get\Syslogserver\SyslogReceiver.eProcess ide ntifier: 4148User account: SYSTEMUser domain: NT AUTHORITYService: YesRPC server: NoIP version: IPv4IP protocol: UDPPort number: 2247Allowed: NoUser notified: No
Jul 24 16:51:47 10.30.5.162 domain security[success] 593 NT AUTHORITY\SYSTEM A process has exited Process ID:414 Image File NameC :\Documents and Settings\Administrator\Desktop\Get\Syslogserver\SyslogReceiver.ex User NameOMAIN Domain:WORKGROU Logon ID0x0, 0x3E7
Jul 24 16:11:49 log kernel: Kernel logging (proc) stopped.
Jul 24 16:11:49 log kernel: Kernel log daemon terminating.
Jul 24 16:11:50 log exiting on signal 15
Jul 24 16:12:09 log syslogd 1.4.1: restart (remote reception).
Jul 24 16:12:09 log kernel: klogd 1.4.1, log source = /proc/kmsg started.
Jul 24 16:52:22 10.30.5.162 domain security[success] 592 NT AUTHORITY\SYSTEM A new process has been created New Process ID:276 Im age File NameC:\Program Files\Splunk\bin\splunk-optimize.ex Creator Process ID:166 User NameOMAIN Domain:WORKGROU Logon ID0x0 ,0x3E7
Jul 24 16:52:22 10.30.5.162 domain security[success] 593 NT AUTHORITY\SYSTEM A process has exited Process ID:276 Image File NameC :\Program Files\Splunk\bin\splunk-optimize.ex User NameOMAIN Domain:WORKGROU Logon ID0x0,0x3E7
[root@log win-logs]# ll -t
total 0
-rwxrwxrwx 1 root root 0 Jul 24 14:30 win162.log
[root@log win-logs]#

[Question] Build Log server	24/07/2012 16:03:21 (+0700) \| #9 \| 267409

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Trên Windows, syslog facility bạn đang để là gì? Trên Linux, cấu hình `/etc/syslog.conf` tương ứng chưa?

Let's build on a great foundation!

[Question] Build Log server	25/07/2012 10:01:57 (+0700) \| #10 \| 267454

vd_
Member

Joined: 06/03/2010 03:05:09
Messages: 124
Offline

nên thử graylog2 thay vì loganalyzer, tìm kiếm/filter nhanh hơn rất nhiều

[Question] Build Log server	26/07/2012 15:08:08 (+0700) \| #11 \| 267511

traunui
Member

Joined: 28/02/2012 20:23:08
Messages: 62
Offline

quanta wrote:

Trên Windows, syslog facility bạn đang để là gì? Trên Linux, cấu hình `/etc/syslog.conf` tương ứng chưa?

Hôm qua đọc xong reply của bác nhưng em off ko online nữa nên giờ mới reply lại đc.

Em để như trên hình.

@vd: thanhks bác, nhưng em đang vướng vụ send log events từ win sang linux. Vụ graylog2 em đã lên plan thử nhưng phải giải quyết việc này trước đã smilie

Bác dùng cái j để send log win vậy ?

Tks.

[Question] Build Log server	26/07/2012 16:51:07 (+0700) \| #12 \| 267516

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Vừa đọc kỹ lại link bạn gửi, thấy hơi "ảo". Đồng chí kia config syslog log vào được folder mới tài chứ. Làm sao syslog biết file nào mà đưa vào nhỉ? Mình vừa thử cũng không chạy. Để chắc ăn, gõ `man syslog.conf` rồi đọc phần ACTIONS cũng không thấy nói: http://linux.about.com/od/commands/l/blcmdl5_syslogc.htm

Let's build on a great foundation!

[Question] Build Log server	27/07/2012 10:01:44 (+0700) \| #13 \| 267541

vd_
Member

Joined: 06/03/2010 03:05:09
Messages: 124
Offline

@traunui
tui dùng cái này http://www.syslog.org/wiki/Main/Evtsys

syslog.conf của bạn phải để local1.* /var/log/<file> chứ sao để directory? Lạ thiệt

Go to:

Users currently in here
1 Anonymous