1 / 16

Der Syslog Server

Der Syslog Server. Praktikum zu System- und Netzwerkmanagement. Gruppe B1: Steffen Hartmann 11029647 Sabrina Josellis 11028408 Hans – Peter Krüger 11027679 Amir Shartari 11027333.

roland
Download Presentation

Der Syslog Server

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Der Syslog Server Praktikum zu System- und Netzwerkmanagement Gruppe B1: Steffen Hartmann 11029647 Sabrina Josellis 11028408 Hans – Peter Krüger 11027679 Amir Shartari 11027333 AUFGABE 1.4 SS 2003 Mittwoch, der 18.06.2003

  2. Index • Der Dienst syslogd • Unsere Aufgaben • 1. Bereitstellung des Syslog- Servers • 2. Zugriffsschutz • 3. Analysieren und Parsen der Log-Einträge • 4. Bei Bedarf Senden einer E-Mail • Querschnittaufgabe • Quellen

  3. Der Dienst syslogd • Zentraler Dienst, um Meldungen und Vorkommnisse im System zu protokollieren • Empfängt Meldungen von anderen Prozessen und reagiert darauf, je nachdem, welche Herkunft und Priorität eine solche Meldung hat • Nützliches Werkzeug, um den Zustand des Systems zu überwachen • Wird auf den meisten Unix-Plattformen benutzt UDP Port 514

  4. Nachrichtenquelle • Das Netzwerk • Das Logging von Nachrichten beschränkt sich nicht nur auf das lokale System, sondern kann auch auf das • Netzwerk ausgeweitet werden. • Auswertung und Sicherung von Nachrichten kann somit vereinfacht werden Wir empfangen die Syslog- Records ausschließlich über das Labor Netzwerk

  5. Nachrichtenverarbeitung • Datenformat der Remote-Messages • Anzahl der Prozesse:CPU Auslastung in %:Device:Auslastung in % • Logging Kategorie (Facility) „local0“ • Log-Level „info“ • Remote-Messages werden in Datei var/log/remote.log gespeichert remote.log May 18 15:23:15 dhcppc2 logger: 32:16:/dev/hda3:50:/dev/hda1:20

  6. Nachrichtenziel Wir unterscheiden 2 Ziele - das Ziel, an dem die Syslog- Records in die Log- Datei geschrieben werden - das Ziel für das Ergebnis unseres Shells Scripts falls ein Grenzwert für den belegten Plattenplatz überschritten ist folgt ein e-mail Versand Ausgabe der Nachricht in eine Datei /var/log/remote.log mailaddr=root@localhost

  7. Unsere Aufgaben • Erreichbarkeit des Syslog- Servers nur für Rechner im Labor • Strukturierung der über das Netzwerk erhaltenen Daten, so • dass eine spätere Auswertung gut möglich ist • Ermittlung der Rechner, die aufgrund der gelieferten Syslog- Records bestimmte Grenzwerte an • belegtem Plattenplatz überschreiten • Automatischer Email Versand an den Administrator des • Syslog- Netzwerkes im Labor Syslog Server

  8. Lösung der vier Teilprobleme • 1. Bereitstellung des Syslog- Servers • 2. Zugriffsschutz • 3. Analysieren und Parsen der Log-Einträge • 4. Bei Bedarf Senden einer E-Mail

  9. 1. Bereitstellung des Servers • Konfiguration des Syslog- Servers • in Datei /etc/services aufnehmen, um den UDP- Port 514 freizuschalten • syslog 514/udp • Datei /etc/rc2.d/S10syslogkd • ändern, um Syslog mit Netzwerkfunktionalität zu starten • PARAM="" in PARAM=“-r" • Datei /etc/syslog.conf • wie folgt erweitern • local0.info         /var/log/remote.log

  10. 2. Zugriffsschutz • Verwenden von iptables (Bestandteil des Kernels und muss nicht installiert werden) • Hinzufügen einer Firewall-Regel, die auf dem UPD-Port 514 ausschließlich Daten aus dem internen Netzwerk akzeptiert Zugriff für das lokale Netzwerk des Labors wird freigeschaltet$ iptables –A INPUT –s 10.23.0.0 / 255.255.0.0 –p udp –i eth0 –-destination-port 514 –j ACCEPT alle Zugriffe auf den Port 514 sperren, und damit allen Rechnern, die nicht aus dem lokalen Netzwerk, eine Verbindung verbieten $ iptables –A INPUT –p udp –i eth0 –-destination-port 514 –j DROP

  11. 3. Analysieren und Parsen der Log-Einträge $ cron start $ cron stop Shell Skript: /usr/bin/usage-check.sh Log- Datei: remote.log Intervallzeit: 10 Minuten Benutzer: root Plattenbelegung: 90 % (*/) 10 * * * * root /usr/bin/usage-check.sh /var/log/remote.log /var/log/network.log 90 Crontab

  12. 4. Bei Bedarf Senden einer E-Mail • Das Shell-Skript untersucht die Log-Datei nach kritischen Einträgen • Daraufhin wird eine E-Mail an den Administrators des lokalen Netzes gesendet mailaddr=root@localhost Wir gehen davon aus, dass der Administrator an dem rechner mit der IP 10.23.64.19 arbeitet, auf welchem auch der Syslog- Server konfiguriert ist

  13. /usr/bin/usage-check.sh ... while [ $end -eq 0 ] do j=`expr $j + 2` use=`echo $info | cut -d':' -f$j` if [ -z $use ]; then end=1 else if [ $use -gt $3 ]; then eval device=`echo $info | cut -d: -f\`expr $j - 1\` ` host=`echo $line | cut -d' ' -f4` echo Sending E-Mail echo "Usage: $use device: $device Host:$host" | mail –s "Alert! Maximum harddisk usage has been reached!“ $mailaddr fi fi done echo $line >> $2 done < $1 sed -e "1,$i d" $1 > $1

  14. Querschnittaufgabe Einigung über ein Datenformat für die Syslog- Records Testen der Verbindung, ob der Server überhaupt erreichbar ist Zugriffsrechte / Firewalleinstellungen konnten getestet werden

  15. Quellen Allgemeine • Man-Pages • Vorlesungsskript Internet-Quellen • http://www.selflinux.org/selflinux/html/Syslog03.html#d33e556 • http://www.aboutdebian.com/lan.htm • http://www.tecchannel.de/betriebssysteme/751

  16. VIELEN DANK FÜR IHRE AUFMERKSAMKEIT!!! ;-)

More Related