Congurar un syslog remoto para centralizar logs | rm-rf.

es

http://rm-rf.es/congurar-un-syslog-remoto-para-centrali...

# rm-rf.es | Administracin de sistemas

Bitcora personal de un SysAdmin Gnu/Linux, Windows, BSD... INICIO Suscrbete por email Contacto

Introduce tu bsqueda...
ago 12, 2011

Congurar un syslog remoto para centralizar logs

Syslogd permite ser congurado para escuchar y aceptar conexiones remotas, lo que implica poder recibir datos y almacenarlos de clientes externos (syslog de otros servidores). Esto es perfecto para crear un servidor syslog central y enviarle todos los logs de otros servidores, con la nalidad de tenerlos y gestionarlos todos en el mismo sitio. La conguracin es bastante sencilla. Vamos a ver los pasos a realizar en el servidor central syslogd y en los clientes.

Syslogd central
En el servidor syslogd que va a recibir todos los logs hay que revisar dos cosas. La primera que est congurado para aceptar conexiones remotas. Para ello hay que aadir el parmetro -r a la lnea de arranque. Ya sea en el script de /etc/init.d/syslog o si lo arrancamos a mano. En el script de init.d suele ser en la variable donde se especican los parmetros:
SYSLOGD_OPTIONS="-r -m 0"

Y si lo arrancaramos a mano:
# syslogd -r -m 0

Una vez arrancado, debera estar escuchando en el puerto UDP 514. Aseguraos que est abierto en el rewall:
syslogd 13819 root 7u IPv4 660344590 UDP *:syslog

Clientes syslogd
A la hora de congurar los clientes que van a enviar los logs al servidor central, nicamente tenemos que especicar qu logs van a ir al servidor central, lo haremos en

1 de 6

09/08/13 13:51

Congurar un syslog remoto para centralizar logs | rm-rf.es

http://rm-rf.es/congurar-un-syslog-remoto-para-centrali...

el chero de conguracin /etc/syslog.conf. Una lnea estandar es esta por ejemplo, en la que mandamos a /var/log/messages los logs de cron, info, mail, etc:
*.info;mail.none;authpriv.none;cron.none /var/log/messages

Para que estos logs se dejen de almacenar en el log local y pasen al remoto, nicamente indicamos con @servidor_syslogd el hostname/ip del servidor syslogd. Si por ejemplo el servidor syslogd tiene el hostname syslogd01:
*.info;mail.none;authpriv.none;cron.none @syslogd01

Reiniciamos syslogd y comenzaramos a enviar los logs al servidor central:

# /etc/init.d/syslogd restart

Un ejemplo de como veramos el log central con varias entradas de distintos servidores (servidor01, servidor02,):
Aug Aug Aug Aug ... ... 12 12 12 12 18:15:58 18:15:58 18:15:58 18:15:58 servidor01 servidor01 servidor02 servidor02 snmpd[27557]: snmpd[27557]: snmpd[27557]: snmpd[27557]: Connection from UDP: [xx.xx.xx.xx]:39892 Received SNMP packet(s) from UDP: [xx.xx.xx.xx]:39892 Connection from UDP: [xx.xx.xx.xx]:56751 Received SNMP packet(s) from UDP: [xx.xx.xx.xx]:56751

Tambin te puede interesar:

Cmo enviar alertas AVC de SELinux por email (setroubleshoot-server) Activar Access Log en GlassFish

4
Twittear

Nadie nos impide hacer troubleshooting/debug de SELinux a travs del log de audit (/var/log/audit/audit.log), el problema es que en dicho log la informacin se vuelca en bruto y puede ser complejo ...

Por defecto GlassFish (la versin 3.X en este caso) no activa los logs de acceso. Si queremos activarlos podemos hacerlo tanto desde la interfaz web de administracin como desde lnea de comandos (...

Ver el contenido de btmp y wtmp con utmpdump

El comando utmpdump permite visualizar el contenido de los ficheros btmp y wtmp. Ambos ficheros tienen formato binario y almacenan logs de: btmp: log que almacena un registro de los accesos fal...

Categora: Linux, Monitorizacin | Etiquetas: logs, syslog

8 Comentarios
1. inedit00 dice: agosto 13, 2011 a las 11:52 am Una entrada genial, Alex. Hace tiempo que quera echarle un vistazo a esto de los logs remotos, pero nunca encontraba tiempo para ello. Aqu est muy bien explicado y parece realmente simple. Pero estoy pensando que este sistema es algo inseguro: abrir el puerto der rewall exponiendo una mquina que permite logear cosas en el disco duro a mi me huele a un ataque DoS llenando el disco duro del servidor de rsyslog. Sabes si el sistema tambin permita autenticacin de algn modo. Ya sea por IP de origen, por sesin, etc ?

2 de 6

09/08/13 13:51

Congurar un syslog remoto para centralizar logs | rm-rf.es

http://rm-rf.es/congurar-un-syslog-remoto-para-centrali...

Un saludo y a seguir as, Jan. Nota: Sigo a bastantes blogs. El tuyo es el que tiene la tasa mas alta de posts tiles por nmero de posts publicados ;) nimos! Responder 2. Alex dice: agosto 13, 2011 a las 12:54 pm Me alegro de que te sirvan los posts! Igual lo mas sencillo es, a nivel de rewall restringir el puerto UDP unicamente a determinadas IPs o a los rangos privados que vayan a usar el servicio de syslog y apaado. De todas formas lo de la autenticacion parece interesante. Lo revisare a ver. Saludo Responder 3. Raul Diaz dice: septiembre 20, 2011 a las 9:24 pm Esto que ustedes desean hacer se puede realizar con syslog-ng echenle un vistazo en: http://www.balabit.com/network-security/syslog-ng/opensource-logging-system Responder 4. Yamilet Sanchez dice: agosto 7, 2012 a las 12:00 am Hola, muchas gracias por la informacion esta buena, me funciona, yo tengo 6 servidores linux, y quisiera que los de casa uno se guardaran por separado, en otro archivo para poder distinguirlo de cada servidor como puedo hacer?? Gracias. Responder Alfonso De Caro dice: septiembre 25, 2012 a las 8:44 pm no seas brutaa! Yamilet!! RTFM Ignorante. Responder 5. Alfonso De Caro dice: septiembre 25, 2012 a las 8:42 pm no seas brutaa! Yamilet!! RTFM Ignorante.

3 de 6

09/08/13 13:51

Congurar un syslog remoto para centralizar logs | rm-rf.es

http://rm-rf.es/congurar-un-syslog-remoto-para-centrali...

Responder 6. Ivan Candamo dice: julio 18, 2013 a las 10:02 pm Saludos Muy valioso tu post, pero, en este caso queria preguntarte si existe la posibilidad de que un servidor replique sus logs hacia varios servidores remotos ejemplo de lo que busco hacer: (en el /etc/syslog.conf) *.info;mail.none;authpriv.none;cron.none @servidor_remoto_1 *.err;*.crit;*.alert;*.emerg @servidor_remoto_2 Responder Ivan Candamo dice: julio 18, 2013 a las 10:04 pm lamentablemente se me hace imposible probarlo en la plataforma donde quiero aplicarlo debido a que es 24/7 y no puedo reiniciar el demonio syslogd. Agradeceria lo que est a tu alcance para disipar la duda. Gracias de antemano. Responder

Deja una respuesta

Nombre (obligatorio)

Mail (obligatorio)

Website

Enviar comentario
Seguir a @rm_rf_es 600 seguidores

4 de 6

09/08/13 13:51

Congurar un syslog remoto para centralizar logs | rm-rf.es

http://rm-rf.es/congurar-un-syslog-remoto-para-centrali...

Entradas recientes
Transaction Check Error al instalar Percona XtraDB Cluster Perl: ocultar texto si se solicita el password por STDIN Truco sed: mostrar lneas desde coincidencia hasta nal o comienzo del chero Ldapsearch y Perl para evitar saltos de lnea en atributos largos CommuniGate Pro: activar debug completo para todo el servicio

Comentarios recientes
Ivan Candamo en Congurar un syslog remoto para centralizar logs Ivan Candamo en Congurar un syslog remoto para centralizar logs Camilo en Automatizar instalaciones de CentOS con Kickstart TronPu2 en Host host_name is blocked because of many connection errors. Unblock with mysqladmin ush-hosts kenny en Aadir hosts virtuales a topologas de red de GNS3

Etiquetas

Apache backup bash CentOS Cisco comando Comandos comandos linux comunicaciones correo cPanel data ontap Debian Dns error Fedora IIS instalacin IOS ip kernel Linux Monitorizacin MySQL NetApp optimizacion Oracle password Perl PHP Red Hat RHEL Seguridad SELinux
sistema cheros Solaris ssh

Ubuntu Unix vim Virtualizacin virtuozzo vps Windows

yum

Categoras
Apache BSD Comandos cPanel Curiosidades Dns Dominios y Hosting Humor Geek IIS Linux Manuales Monitorizacin MySQL NetApp PHP PostgreSQL Python y Perl Redes Scripts Seguridad Servidores de aplicaciones Servidores de correo

5 de 6

09/08/13 13:51

Congurar un syslog remoto para centralizar logs | rm-rf.es

http://rm-rf.es/congurar-un-syslog-remoto-para-centrali...

Storage Ubuntu Unix Utilidades Vdeos Virtualizacin Windows Poltica de privacidad | Tema Grid Focus | Licencia Creative Commons | Guitarra | Enmarcacin de cuadros

6 de 6

09/08/13 13:51