Sentralisasi syslog dengan syslog-ng

May 27, 2009 at 3:28 am | Posted in internet, Linux, Work | 6 Comments
Tags: , , ,

Syslog sangat penting bagi seorang system administrator dalam memonitoring kinerja server. Apabila terjadi sesuatu yang mencurigakan terhadap server, seperti intruder atau error terhadap salah satu service, kita bisa memeriksanya melalui log yang ada di dalam server tersebut.

Sentralisasi log juga sangat bermanfaat, sehingga apabila kita ingin memeriksa log dari suatu server kita tidak perlu meremote satu per satu server tersebut. Hanya dengan me-remote server log pusat kita bisa melihat semua log dari beberapa server.

Di linux ada program yang disebut syslog-ng. Program ini mendukung sentralisasi log antara server dan client. Berikut ini langkah-langkah yang perlu dilakukan.

Di PC client:

edit file /etc/syslog.conf tambahkan baris berikut di akhir file:

*.*             @a.b.c.d

a.b.c.d adalah ip address server dimana setiap log akan dikirimkan ke ip address tersebut.

edit file syslog-ng.conf, tambahkan baris berikut:

destination d_loghost {tcp(“202.51.102.12” port(514));};
log { source(s_local); destination(d_loghost); };

Di PC server, dimana semua log dari client akan dikirim ke pc ini:

edit file syslog-ng.conf, tambahkan baris berikut:

source s_remote { tcp(); };
destination d_clients { file(“/var/log/HOSTS/$HOST/$YEAR/$MONTH/$DAY/$FACILITY_$HOST_$YEAR_$MONTH_$DAY”
owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes));
};

log { source(s_remote); destination(d_clients); };

Program akan secara otomatis membuat folder setiap hari untuk masing-masing host, sehingga akan memudahkan administrator mengecek log 🙂 .

Restart service syslog-ng. Check di client dan server apakah port 514 sudah terbuka dan sudah ada client yang established.

[root@backup ~]# netstat -plan | grep syslog
tcp        0      0 0.0.0.0:514                 0.0.0.0:*                   LISTEN      8577/syslog-ng
tcp        0      0 ip-address-server:514           ip-address-client:34772         ESTABLISHED 8577/syslog-ng

[root@milan ~]# netstat -plan | grep syslog
tcp        0      0 ip-address-client:34772     ip-address-server:514       ESTABLISHED 1039/syslog-ng
udp   109436      0 0.0.0.0:514             0.0.0.0:*                           27908/syslogd

hostname backup adalah syslog server dan hostname milan adalah sebagai client.

Untuk mengecek apakah sentralisasi syslog sudah berjalan, kita bisa menggunakan command logger di pc client:

[root@milan ~]# logger “hello from milan”

Dan di sisi server, kita bisa melihat file log untuk hostname milan, apabila muncul tulisan:

May 27 10:17:20 milan root: hello from milan

Selamat, sentralisasi syslog anda sukses dijalankan! 🙂

Secara default, syslog yang dikirimkan adalah log yang ada di file /var/log/messages. Kita bisa mengcustomize untuk mengirim log yang lain, misalnya log ftp, log apache, log squid, dan lain-lain. Customize tersebut dilakukan di file syslog-ng.conf.

referensi:

http://www.enterprisenetworkingplanet.com/netsysm/article.php/3596656

http://www.balabit.com/dl/html/syslog-ng-v3.0-guide-admin-en.html/bk01-toc.html

Advertisements

Block Port 445 Exploit in Cisco Router

February 23, 2009 at 6:38 am | Posted in Work | 1 Comment
Tags: , , ,

Salah satu customer di kantor kami mengeluh karena koneksi internetnya kadang terasa lambat. Sambil menambahkan bahwa situasi ini terjadi pada saat tertentu saja, misalnya pada pagi hari. Begitu sore hari, koneksi berjalan normal kembali.

Kecurigaan pertama kami pikir bahwa pada saat itu ada user lain yang sedang mendownload dari internet dalam jumlah besar sehingga menghabiskan seluruh resource bandwidth yang mereka sewa. Ternyata setelah di cek oleh customer, tidak ada user lain yang sedang mendownload. Tapi mereka mengeluh internet tetap lambat.

Kemudian, setelah di cek melalui program monitoring di pihak kami, diketahui bahwa kemungkinan besar salah satu atau beberapa pc di sisi customer telah terinfeksi virus. Memang tidak terlihat ada aktivitas mendownload yang menyebabkan traffic internet tinggi, tetapi yang mencurigakan adalah banyaknya koneksi yang dilakukan dari sisi customer ke internet. Jumlah koneksi tersebut mencapai ribuan, dan terpusat hanya pada satu port saja, yaitu port 445. Memang total bandwidth yang dipakai oleh ribuan koneksi tersebut hanya dalam hitungan 2000-3000 bps saja, tapi kalau jumlahnya sudah sampai ribuan tetap saja mengganggu.

Karena ingin menyelesaikan masalah dengan cepat, maka diambil solusi untuk memblok traffic di port 445 melalui router. Langkah yang dilakukan adalah menambah konfigurasi sebagai berikut.

Buat dulu access list untuk memblok virusnya:

ip access-list extended Blok_Virus
deny   tcp any any eq 445 log
deny   tcp any any eq 135 log
deny   tcp any any eq 139 log
permit ip any any

Kemudian tinggal memasukkan access list tersebut di interface yang terhubung langsung dengan customer:

ip access-group Blok_Virus in
ip access-group Blok_Virus out

Dan akhirnya masalah tersebut terselesaikan. Customer tidak mengeluh lagi koneksi internetnya lambat.

Technorati Tags: , , ,

Tips Untuk System Administrator

February 13, 2009 at 3:15 am | Posted in internet, Linux, Work | 1 Comment
Tags: , , ,

Preface: Tulisan ini diambil dari http://kandou.web.id/2008/06/26/tips-untuk-system-administrator/ . Walaupun di situs lain sudah banyak yang menuliskan hal yang persis sama, tapi aku tulis lagi di blog aku supaya tetap ingat terus.Postingan ini juga jadi postingan pertama yang ditulis di dalam kategori “Work”.

Bekerja sebagai seorang System Administrator (sysadmin) tidaklah sesulit atau semudah yang anda bayangkan. Namun jauhkan dulu bayangan anda dari seorang sysadmin pada perusahaan besar sekaliber Yahoo dan Google, atau sysadmin pada perusahaan telekomunikasi sekelas XL, Telkom, Indosat dan lainnya di Indonesia. Coba anda bayangkan sebuah warnet kecil atau perusahaan kecil yang hanya memiliki 10 unit komputer workstation dengan 1 atau 2 buah server yang menjalankan service dns, proxy, web dan mail selain juga berfungsi sebagai internet gateway.

Berikut beberapa tips yang saya praktekan sebagai seorang sysadmin. Tulisan ini berdasarkan pengalaman pribadi saya dalam mengelola server dan workstation beserta jaringannya di beberapa warnet kecil, beberapa kantor pemerintah, beberapa perusahaan hingga ISP juga masukan dari teman-teman sesama sysadmin, beberapa diantaranya adalah referensi yang pernah saya baca di internet tapi saya lupa penulisnya. Beritahu saya jika anda menemukan tulisan anda disini, saya dengan senang hati akan mengupdate tulisan ini dan mencantumkan nama anda tentunya.

Tips ini pasti sudah basi bagi para sysadmin kawakan, tapi mungkin berguna bagi para sysadmin pemula dalam bersikap dan bertindak sebagai seorang sysadmin pada tempatnya bekerja. Continue Reading Tips Untuk System Administrator…

Blog at WordPress.com.
Entries and comments feeds.