このブログを検索

2011年4月18日月曜日

OpenSUSE 11.4 シスログサーバー構築

久々の記事ですが、
今回はシスログサーバーと送信元の設定のお話。
OpenSUSE11.4(前の11.台もそう)のデフォルトはrsyslogなので、rsyslog.confをちょこっと編集して、syslogを再起動すればOKです。
とても簡単。
これで、管理するサーバーが多い場合、ログを一つにまとめられるので、不正アクセス元のIPアドレスなどを抽出する作業が楽になります。
が、ログの量が膨大になるので、遅いストレージを使用していると検索したりするのに時間がかかります。
この設計は
ネットワークの書き込み通信量(全台数)<HDD書き込みスピード
でいいと思います。

改ざんなどのセキュリティを上げるためのシスログサーバーですので、グローバルアドレスは必要ありません。


【シスログサーバー側】

ファイルは下記の
/etc/rsyslog.conf
を編集します。

$ModLoad imudp.so
$UDPServerRun 514

恐らく上記はデフォルトで記述されていないはずなので、追記します。
今回はUDPの514番ポートを使用しますが、TCPやその他のポートを使用する場合はここを編集する。(imtcp.soをつかう。)
その後、
#/etc/init.d/syslog restart
で再起動。
※FireWallのUDP 514を開けるのを忘れずに。

シスログサーバーはグローバルIPアドレスを振らないで、ローカルにおき、グローバルアドレスのホストから受けられるようにしておくのがよいと思います。
でないと、送信元のIPをhost.allowなどで記述したりして、ログ改ざんを防がなければいけません。

【送信元サーバー】

送るほうのサーバーも
/etc/rsyslog.conf
このファイルを編集します。

同じくデフォルトでは下記がないはずですので、追記します。

$WorkDirectory /rsyslog/spool
$ActionQueueFileName uniqName
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount 3  

*.*;mail.none;news.none                 @192.168.11.1:514

ホスト名で記述する場合はhostsファイルに書いておくといい。
うちの場合は、ローカルのdnsも立ち上がっているので、IPアドレス直書き推奨です。
(お分かりとは思いますが、192.168.11.1の部分を書き換えてください。
どんなログを送るかは、各自rsyslogに関することをgoogle先生に聞いてください。
上の場合は、他の部分がデフォルトのままだとすると、meessagesの部分をシスログサーバーに送るようになってます。)

その後、
#/etc/init.d/syslog restart
で再起動。

これで完了です。

簡単なので、お勧めです。

あとは集めたログに対して、grepかけるスクリプトを作り、cronで定期的に抽出、メールでアラートなどすればよいと思います。

もし、構築に関してご依頼の場合は、
webmaster@niriakot.jp
までご相談ください。
相談は無料です。
24時間以内にご返答致します。

以上よろしくお願いします。

0 件のコメント:

コメントを投稿