Ülesande püstitus

Juhendi eesmärgiks on luua keskne logihaldus Rsyslog ja SEC näitel ning esmane logi seire.

Kasutatud tarkvara ja virtuaalmasinad

Tarkvara

Rsyslog 5.8.6
SEC 2.5.3

Virtuaalmasinad

1) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.
IP aadress: 192.168.56.201
2) Klient: Ubuntu Desktop 64bit versioon 13.
IP aadress: 192.168.56.101

Logiserveri seadistamine

Rsyslog [1]

1) Luua uus virtuaalmasin unikaalse IP-aadressiga.

2) Seejärel tuleks luua kaust logide jaoks.
NB! Kõik käsklused peaksid olema SUDO õigustes

mkdir /var/log/remote

3) Pärast seda tuleks anda kaustale grupi automaatse kirjutamise õigus

chmod g+ws /var/log/remote/

4) Samuti tuleks ka kausta omanik ära vahetada, et syslogil oleks täiendavad õigused.

chown syslog:adm /var/log/remote/

5) Seejärel tuleks lisada konfiguratsioonifaili(/etc/rsyslog.conf) järgnevad read:

# provides TCP syslog reception
$ModLoad imtcp
#default port 514 do not work untill rsyslog has been updated.
$InputTCPServerRun 1025

# This one is the template to generate the log filename dynamically, depending on the client's IP address.
$template FILENAME,"/var/log/remote/%fromhost-ip%/syslog.log"

# Log all messages to the dynamically formed file. Now each clients log (192.168.56.*), will be under a separate directory which is formed by the template FILENAME.
*.* ?FILENAME

6) Pärast seda tuleks kliendi masina konfiguratsioonifaili(/etc/rsyslog.conf) lisada.

# provides TCP syslog reception
$ModLoad imtcp
#default port 514 do not work untill rsyslog has been updated.
$InputTCPServerRun 1025

# Provides TCP forwarding.
#default port 514 do not work untill rsyslog has been updated.
 *.* @@192.168.56.201:1025

Kasutatud kirjandus

http://www.canonical.com/sites/default/files/active/Whitepaper-CentralisedLogging-v1.pdf
http://www.thegeekstuff.com/2012/01/rsyslog-remote-logging/
http://www.occam.com/sa/CentralizedLogging2012.pdf