*Nix
Dùng 02 daemon syslogd và klogd, file config: /etc/syslog.conf.
Bổ sung các dòng sau vào cuối file /etc/syslog.conf:
#
# log messages to syslog-ng servers
*.* @192.168.XX.YY
*.* @192.168.XX.YY
Restart syslog để cấu hình có hiệu lực:
# /etc/init.d/syslog restart
Windows
Cài đặt Datagram SyslogAgent? để lưu tập trung Windows Event Log về Syslog servers.
Tham khảo Setting up Splunk with Syslog-ng and a FIFO, Apendix D – logging Windows applications using Datagram SyslogAgent.
Các ứng dụng không hỗ trợ syslog trên Linux
OpenLDAP
Chỉnh giá trị loglevel trong file config của OpenLDAP, fullpath: /etc/openldap/slapd.conf
#loglevel 0
loglevel 256
Restart OpenLDAP và sau đó restart syslog daemon:
# /etc/init.d/syslog restart
# /etc/init.d/ldap restart
(Bắt buộc restart syslog daemon để OpenLDAP có thể ghi log vào log file và gửi tập trung về Syslog servers)
Local log file của OpenLDAP: /var/log/ldap.log
Radius
Default path of File config: /etc/raddb/radiusd.conf
...
logdir = ${localstatedir}/log/radius
...
# For FreeRADIUS Version 1.1.1+
#log_destination = syslog >> plz edit the '/etc/sysconfig/minion' to remove the radius log file from the config
# FreeRADIUS Version 1.0.1
log_file = ${logdir}/radius.log
...
# These directives control how access to and requests of the FreeRADIUS server are logged.
# The log_stripped_names control instructs FreeRADIUS whether to include the full User-Name attribute as it appeared in the packet.
# The log_auth directive specifies whether to log authentication requests or simply carry them out without logging.
# The log_auth_badpass control, when set to yes, causes radiusd to log the bad password that was attempted, while the log_auth_goodpass logs the password if it's correct.
log_stripped_names = no
log_auth = yes
log_auth_badpass = no
log_auth_goodpass = no
...
Do đó Log file của Radius thường là: /var/log/radius/radiusd.log (nếu dùng FreeRADIUS Version 1.0.1)
Restart Radius daemon:
# /etc/init.d/radiusd restart
Vì FreeRADIUS Version 1.0.1 không hỗ trợ syslog nên để lưu log tập trung ứng dụng này, cần dùng thêm log_minion đã đề cập ở trên.
Zimbra
Tương tự FreeRADIUS Version 1.0.1, một số log của Zimbra cũng không hỗ trợ syslog: Tomcat log, Zimbra audit.log, Zimbra mailbox.log,..., nên cũng cần cài đặt log_minion hỗ trợ lưu log tập trung.
File config của minon dành cho Zimbra:
SYSLOG_HOST="192.168.XX.YY"
APPLICATION_NAME="minion"
TAIL_FILES="/opt/zimbra/log/audit.log,/opt/zimbra/log/mailbox.log,/opt/zimbra/log/clamd.log,/opt/zimbra/log/sync.log,/tmp/logprocess.out,/var/log/null.log"
SYSLOG_FACILITY="local2"
FORWARD_TO_MIRROR=1
SYSLOG_HOST2="192.168.XX.YY"
Các ứng dụng không hỗ trợ Windows Event Log trên Windows
Tương tự mục Windows, sử dụng Datagram SyslogAgent?.
Cisco Routers / Switches
(config)# logging enable
(config)# logging trap informational
(config)# logging 192.168.XX.YY
(config)# login on-failure log
(config)# login on-success log
(config)# write memory
Lưu ý:
• Hạn chế logging trap debugging, chỉ sử dụng level debug khi xử lý sự cố;
Tham khảo:
• Logging authentication events from IOS http://www.ossec.net/dcid/?p=18
• Cisco IOS Login Enhancements http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_login.html
• Cisco IOS Software System Messages http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124sup/124sms/index.htm
• Cisco IOS Release 12.4 System Messages, Volume 1 of 2, LOGIN Messages http://www.cisco.com/en/US/docs/ios/12_4/system/messages/Vol1/sm_14h.html#wp392924
Đăng ký:
Đăng Nhận xét (Atom)
Không có nhận xét nào:
Đăng nhận xét