Mai Blogs?

Sentralisasi syslog dengan syslog-ng

May 27, 2009 at 3:28 am | Posted in internet, Linux, Work | 6 Comments
Tags: internet, Linux, networking, Work

Syslog sangat penting bagi seorang system administrator dalam memonitoring kinerja server. Apabila terjadi sesuatu yang mencurigakan terhadap server, seperti intruder atau error terhadap salah satu service, kita bisa memeriksanya melalui log yang ada di dalam server tersebut.

Sentralisasi log juga sangat bermanfaat, sehingga apabila kita ingin memeriksa log dari suatu server kita tidak perlu meremote satu per satu server tersebut. Hanya dengan me-remote server log pusat kita bisa melihat semua log dari beberapa server.

Di linux ada program yang disebut syslog-ng. Program ini mendukung sentralisasi log antara server dan client. Berikut ini langkah-langkah yang perlu dilakukan.

Di PC client:

edit file /etc/syslog.conf tambahkan baris berikut di akhir file:

*.*             @a.b.c.d

a.b.c.d adalah ip address server dimana setiap log akan dikirimkan ke ip address tersebut.

edit file syslog-ng.conf, tambahkan baris berikut:

destination d_loghost {tcp(“202.51.102.12” port(514));};
log { source(s_local); destination(d_loghost); };

Di PC server, dimana semua log dari client akan dikirim ke pc ini:

edit file syslog-ng.conf, tambahkan baris berikut:

source s_remote { tcp(); };
destination d_clients { file(“/var/log/HOSTS/$HOST/$YEAR/$MONTH/$DAY/$FACILITY_$HOST_$YEAR_$MONTH_$DAY”
owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes));
};

log { source(s_remote); destination(d_clients); };

Program akan secara otomatis membuat folder setiap hari untuk masing-masing host, sehingga akan memudahkan administrator mengecek log 🙂 .

Restart service syslog-ng. Check di client dan server apakah port 514 sudah terbuka dan sudah ada client yang established.

[root@backup ~]# netstat -plan | grep syslog
tcp        0      0 0.0.0.0:514                 0.0.0.0:*                   LISTEN      8577/syslog-ng
tcp        0      0 ip-address-server:514           ip-address-client:34772         ESTABLISHED 8577/syslog-ng

[root@milan ~]# netstat -plan | grep syslog
tcp        0      0 ip-address-client:34772     ip-address-server:514       ESTABLISHED 1039/syslog-ng
udp   109436      0 0.0.0.0:514             0.0.0.0:*                           27908/syslogd

hostname backup adalah syslog server dan hostname milan adalah sebagai client.

Untuk mengecek apakah sentralisasi syslog sudah berjalan, kita bisa menggunakan command logger di pc client:

[root@milan ~]# logger “hello from milan”

Dan di sisi server, kita bisa melihat file log untuk hostname milan, apabila muncul tulisan:

May 27 10:17:20 milan root: hello from milan

Selamat, sentralisasi syslog anda sukses dijalankan! 🙂

Secara default, syslog yang dikirimkan adalah log yang ada di file /var/log/messages. Kita bisa mengcustomize untuk mengirim log yang lain, misalnya log ftp, log apache, log squid, dan lain-lain. Customize tersebut dilakukan di file syslog-ng.conf.

referensi:

http://www.enterprisenetworkingplanet.com/netsysm/article.php/3596656

http://www.balabit.com/dl/html/syslog-ng-v3.0-guide-admin-en.html/bk01-toc.html