Sentralisasi syslog dengan syslog-ng

May 27, 2009 at 3:28 am | Posted in internet, Linux, Work | 6 Comments
Tags: , , ,

Syslog sangat penting bagi seorang system administrator dalam memonitoring kinerja server. Apabila terjadi sesuatu yang mencurigakan terhadap server, seperti intruder atau error terhadap salah satu service, kita bisa memeriksanya melalui log yang ada di dalam server tersebut.

Sentralisasi log juga sangat bermanfaat, sehingga apabila kita ingin memeriksa log dari suatu server kita tidak perlu meremote satu per satu server tersebut. Hanya dengan me-remote server log pusat kita bisa melihat semua log dari beberapa server.

Di linux ada program yang disebut syslog-ng. Program ini mendukung sentralisasi log antara server dan client. Berikut ini langkah-langkah yang perlu dilakukan.

Di PC client:

edit file /etc/syslog.conf tambahkan baris berikut di akhir file:

*.*             @a.b.c.d

a.b.c.d adalah ip address server dimana setiap log akan dikirimkan ke ip address tersebut.

edit file syslog-ng.conf, tambahkan baris berikut:

destination d_loghost {tcp(“202.51.102.12” port(514));};
log { source(s_local); destination(d_loghost); };

Di PC server, dimana semua log dari client akan dikirim ke pc ini:

edit file syslog-ng.conf, tambahkan baris berikut:

source s_remote { tcp(); };
destination d_clients { file(“/var/log/HOSTS/$HOST/$YEAR/$MONTH/$DAY/$FACILITY_$HOST_$YEAR_$MONTH_$DAY”
owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes));
};

log { source(s_remote); destination(d_clients); };

Program akan secara otomatis membuat folder setiap hari untuk masing-masing host, sehingga akan memudahkan administrator mengecek log 🙂 .

Restart service syslog-ng. Check di client dan server apakah port 514 sudah terbuka dan sudah ada client yang established.

[root@backup ~]# netstat -plan | grep syslog
tcp        0      0 0.0.0.0:514                 0.0.0.0:*                   LISTEN      8577/syslog-ng
tcp        0      0 ip-address-server:514           ip-address-client:34772         ESTABLISHED 8577/syslog-ng

[root@milan ~]# netstat -plan | grep syslog
tcp        0      0 ip-address-client:34772     ip-address-server:514       ESTABLISHED 1039/syslog-ng
udp   109436      0 0.0.0.0:514             0.0.0.0:*                           27908/syslogd

hostname backup adalah syslog server dan hostname milan adalah sebagai client.

Untuk mengecek apakah sentralisasi syslog sudah berjalan, kita bisa menggunakan command logger di pc client:

[root@milan ~]# logger “hello from milan”

Dan di sisi server, kita bisa melihat file log untuk hostname milan, apabila muncul tulisan:

May 27 10:17:20 milan root: hello from milan

Selamat, sentralisasi syslog anda sukses dijalankan! 🙂

Secara default, syslog yang dikirimkan adalah log yang ada di file /var/log/messages. Kita bisa mengcustomize untuk mengirim log yang lain, misalnya log ftp, log apache, log squid, dan lain-lain. Customize tersebut dilakukan di file syslog-ng.conf.

referensi:

http://www.enterprisenetworkingplanet.com/netsysm/article.php/3596656

http://www.balabit.com/dl/html/syslog-ng-v3.0-guide-admin-en.html/bk01-toc.html

HOWTO IP aliasing [Ubuntu]

May 22, 2008 at 10:49 am | Posted in Linux | Leave a comment
Tags: , , ,

HOW-TO berikut ini menunjukkan bagaimana caranya membuat pc kita seolah-olah mempunyai 2 NIC (LAN Card). Misalnya ip address pc kita 172.22.4.69, kemudian kita “menambahkan” lagi ip address baru, misalnya 192.168.1.1

Dengan ip address baru tersebut, komputer lain dapat menggunakan 192.168.1.1 sebagai gateway-addressnya sehingga komputer yang lain ini dianggap mempunyai ip address 172.22.4.69 walaupun ip sebenarnya misalnya 192.168.1.2. Jadi bingung kan? Untuk lebih jelasnya ikuti saja langkah-langkah berikut ini. HOW-TO dilakukan pada lingkungan kampus sehingga penamaan hostname dan ip address dapat berbeda dengan konfigurasi LAN anda.

di komputer 1 (yang akan dijadikan gateway), ketikkan perintah berikut di terminal:

sudo ifconfig eth0

ip address yang muncul adalah ip address yang digunakan di jaringan lokal PI Del (sebagai contoh 172.22.4.69)
kemudian kita akan membuat alias, sehingga terlihat seperti mempunyai 2 LAN card, ketikkan perintah berikut

sudo ifconfig eth0:0 192.168.1.1 up

sudo ifconfig

akan muncul satu interface baru yaitu eth0:0 dengan ip address 192.168.1.1
kemudian ketikkan perintah berikut

sudo gedit /etc/network/interfaces

tambahkan baris berikut ini di bagian bawah

iface eth0:0 inet static
address 192.168.1.1
netmask 255.255.255.0
gateway 172.22.4.65

kemudian save (ctrl+s) dan tutup file tersebut

kemudian ketikkan perintah berikut di terminal:

su root
(masukkan password root)
echo 1 > /proc/sys/net/ipv4/ip_forward
exit

edit file sysctl.conf

sudo gedit /etc/sysctl.conf

tambahkan baris berikut di baris paling bawah

net.ipv4.ip_forward = 1

restart service networking dengan perintah:

sudo /etc/init.d/networking restart

kemudian kita mengkonfigurasi iptables untuk NAT (Network Address Translation). Ketikkan perintah berikut

sudo iptables -t nat -A POSTROUTING -s 172.22.4.0/24 -o eth0 -j MASQUERADE

sudo iptables -A FORWARD -s 172.22.4.0/24 -o eth0 -j ACCEPT

sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo iptables-save

kemudian kita install paket dnsmasq dan ipmasq dengan perintah

sudo apt-get install dnsmasq ipmasq

restart dnsmasq

sudo /etc/init.d/dnsmasq restart

rekonfigurasi ipmasq

sudo dpkg-reconfigure ipmasq

Pilih ‘Yes’ pada pertanyaan ‘Should PPP connections recomputer the firewall?’, kemudian ‘OK’

Pilih ‘After network services have been started’ pada pertanyaan ‘When should ipmasq be started?’, kemudian ‘OK’

Sekarang ke komputer 2

buatlah ip addressnya menjadi 192.168.1.2 dengan subnet mask 255.255.255.0 dan gateway address 192.168.1.1. DNS tetap 172.21.1.5.

setelah itu restart service network

sudo /etc/init.d/networking restart

coba ping ke ip address gateway, ip address LAN PI Del (172.x.x.x) dan salah satu hostname (mis: mail.del.ac.id)

ping 192.168.1.1
ping 172.22.5.86
ping mail.del.ac.id

apabila semua mendapatkan reply, maka konfigurasi telah berhasil. Dengan demikian, walaupun komputer 2 mempunyai ip address 192.168.1.2, tetapi komputer lain (mail server atau web server) akan menganggap ip address dari komputer 2 tersebut adalah 172.22.4.69.

Blog at WordPress.com.
Entries and comments feeds.