Sentralisasi syslog dengan syslog-ng

May 27, 2009 at 3:28 am | Posted in internet, Linux, Work | 6 Comments
Tags: , , ,

Syslog sangat penting bagi seorang system administrator dalam memonitoring kinerja server. Apabila terjadi sesuatu yang mencurigakan terhadap server, seperti intruder atau error terhadap salah satu service, kita bisa memeriksanya melalui log yang ada di dalam server tersebut.

Sentralisasi log juga sangat bermanfaat, sehingga apabila kita ingin memeriksa log dari suatu server kita tidak perlu meremote satu per satu server tersebut. Hanya dengan me-remote server log pusat kita bisa melihat semua log dari beberapa server.

Di linux ada program yang disebut syslog-ng. Program ini mendukung sentralisasi log antara server dan client. Berikut ini langkah-langkah yang perlu dilakukan.

Di PC client:

edit file /etc/syslog.conf tambahkan baris berikut di akhir file:

*.*             @a.b.c.d

a.b.c.d adalah ip address server dimana setiap log akan dikirimkan ke ip address tersebut.

edit file syslog-ng.conf, tambahkan baris berikut:

destination d_loghost {tcp(“202.51.102.12” port(514));};
log { source(s_local); destination(d_loghost); };

Di PC server, dimana semua log dari client akan dikirim ke pc ini:

edit file syslog-ng.conf, tambahkan baris berikut:

source s_remote { tcp(); };
destination d_clients { file(“/var/log/HOSTS/$HOST/$YEAR/$MONTH/$DAY/$FACILITY_$HOST_$YEAR_$MONTH_$DAY”
owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes));
};

log { source(s_remote); destination(d_clients); };

Program akan secara otomatis membuat folder setiap hari untuk masing-masing host, sehingga akan memudahkan administrator mengecek log🙂 .

Restart service syslog-ng. Check di client dan server apakah port 514 sudah terbuka dan sudah ada client yang established.

[root@backup ~]# netstat -plan | grep syslog
tcp        0      0 0.0.0.0:514                 0.0.0.0:*                   LISTEN      8577/syslog-ng
tcp        0      0 ip-address-server:514           ip-address-client:34772         ESTABLISHED 8577/syslog-ng

[root@milan ~]# netstat -plan | grep syslog
tcp        0      0 ip-address-client:34772     ip-address-server:514       ESTABLISHED 1039/syslog-ng
udp   109436      0 0.0.0.0:514             0.0.0.0:*                           27908/syslogd

hostname backup adalah syslog server dan hostname milan adalah sebagai client.

Untuk mengecek apakah sentralisasi syslog sudah berjalan, kita bisa menggunakan command logger di pc client:

[root@milan ~]# logger “hello from milan”

Dan di sisi server, kita bisa melihat file log untuk hostname milan, apabila muncul tulisan:

May 27 10:17:20 milan root: hello from milan

Selamat, sentralisasi syslog anda sukses dijalankan!🙂

Secara default, syslog yang dikirimkan adalah log yang ada di file /var/log/messages. Kita bisa mengcustomize untuk mengirim log yang lain, misalnya log ftp, log apache, log squid, dan lain-lain. Customize tersebut dilakukan di file syslog-ng.conf.

referensi:

http://www.enterprisenetworkingplanet.com/netsysm/article.php/3596656

http://www.balabit.com/dl/html/syslog-ng-v3.0-guide-admin-en.html/bk01-toc.html

6 Comments »

RSS feed for comments on this post. TrackBack URI

  1. gak ngerti aku lek jom. master kali kau pulak..

  2. itu berarti pc client nya pake linux juga ya? gimana klo pc clientnya pake windows jom? mohon pencerahannya, dah g tahu lagi aku network ini

  3. jom, ada award nih http://melalak.com/nyantai/melalakcom-dapat-award

  4. […] bonar, yang lagi sibuk belajar untuk dapatkan sertifikasi CCNA. […]

  5. bang, update dong blognya, masa dari bulang mei ampe sekarang blognya itu mulu, ga seru ah.

    Postingan terakhir ini juga susah dimengerti, ketauan aq ga bisa jaringan, he he he

  6. Kenalkan….newbie blogger disini..visit my blog. thanks^.^


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Create a free website or blog at WordPress.com.
Entries and comments feeds.

%d bloggers like this: