PDF de programación - Gestión de Registros Parte I: rsyslog

Imágen de pdf Gestión de Registros Parte I: rsyslog

Gestión de Registros Parte I: rsysloggráfica de visualizaciones

Publicado el 15 de Febrero del 2020
56 visualizaciones desde el 15 de Febrero del 2020
181,4 KB
6 paginas
Creado hace 7a (11/10/2012)
Gestión de Registros Parte I: rsyslog

Gestión de Redes

Contents

0.1 Notas

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 Ejercicio

1.1 Configurar el enrutador para enviar registros syslog . . . . . . . .
1.2 Configurar rsyslog . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Comprobación de syslog . . . . . . . . . . . . . . . . . . . . . . .
1.4 Resolver problemas con rsyslog . . . . . . . . . . . . . . . . . . .

1

1
2
3
4
5

0.1 Notas

• Los comandos precedidos por “$” implican que debe ejecutar el comando

como usuario genérico - no como root

• Los comandos precedidos por “#” implican que debería estar trabajando

como usuario root.

• Los comandos con inicios de línea más específicos como “RTR-GW>” o
“mysql>” indican que debe ejecutar los comandos en un equipo remoto, o
dentro de otro programa

1 Ejercicio

Los enrutadores son capaces de enviar mensajes syslog a múltiples destinos. Por
lo tanto debemos configurar el enrutador para enviar registros a cada una de las
PCs en un grupo.

1

1.1 Configurar el enrutador para enviar registros syslog

Configure el enrutador virtual para que envíe mensajes syslog a todas las PCs
de su grupo.
Cada persona en su grupo debería ingresar al enrutador del grupo y hacer lo
siguiente (asumiendo que ya ha ingresado a su máquina virtual).

$ ssh cisco@rtrX
rtrX> enable
rtrX# config terminal

rtrX(config)# logging 10.10.X.Y

... sustituya X.Y por la IP de su PC (grupo + número, ej. pc2 = 10.10.1.2).

rtrX(config)# logging facility local0
rtrX(config)# logging userinfo
rtrX(config)# exit
rtrX# write memory
rtrX# exit

Ahora ejecute show logging para ver en resumen la configuración de envío de
registros.

rtrX# show logging

Los otros participantes en su grupo estarán haciendo la misma cosa, por lo tanto
no se sorprenda al ver otros destinos además del suyo en la salida del comando
anterior. Oprima la barra espaciadora para visualizar todo el texto.
Salga del enrutador:

rtrX# exit

Eso es todo. El enrutador debería estar enviando paquetes UDP SYSLOG a su
PC en el puerto 514.
Para verificar esto, ingrese en su PC como usuario sysadmin (si no lo ha hecho
ya) y haga lo siguiente:

$ sudo bash
# apt-get install tcpdump
# tcpdump -s0 -n -i eth0 udp port 514

(puede que ya esté instalado)

2

Luego, una persona del grupo debe ingresar de nuevo al enrutador y hacer lo
siguiente:

$ ssh cisco@rtrX
rtrX> enable
rtrX# config terminal
rtrX(config)# exit
rtrX> exit

El tcpdump producirá una salida en su PC. Algo como lo siguiente:

11:20:24.942289 10.10.1.254.63515 > 10.10.1.1.514: SYSLOG local0.notice, length: 110
11:20:24.944376 10.10.1.254.53407 > 10.10.1.1.514: SYSLOG local0.notice, length: 102

Luego de ver esto, presione Ctrl-C para salir de tcpdump.
Nota: tcpdump también podría mostrar el contenido de los mensajes syslog
si usara el parámetro -v en la línea de comandos. Para aprender más sobre
tcpdump puede escribir “man tcpdump”.
Ahora puede configurar el programa de manejo de registros en su PC para recibir
esta información y guardarla en un conjunto de archivos.

1.2 Configurar rsyslog

Si no lo está, ingrese en su máquina virtual y conviértase en el usuario root.
Edite el archivo /etc/rsyslog.conf:

# editor /etc/rsyslog.conf

. . . y encuentre y des-comente las siguients líneas (quite los “#”)

#$ModLoad imudp
#$UDPServerRun 514

change to:

$ModLoad imudp
$UDPServerRun 514

Luego cambie esta línea:

3

$PrivDropToGroup syslog

a:

$PrivDropToGroup adm

Grabe y salga.
Ahora, cree un archivo nuevo:

# editor /etc/rsyslog.d/30-routerlogs.conf

. . . y ponga lo siguiente (COPIAR/PEGAR!):

$template
local0.*
& ~

RouterLogs,"/var/log/network/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%-%$HOUR%.log"
-?RouterLogs

Grabe y salga, y luego:

# mkdir /var/log/network
# chown syslog:adm /var/log/network

Reinicie rsyslog:

# service rsyslog restart

1.3 Comprobación de syslog

Para asegurarse de enviar mensajes, ingrese de nuevo al enrutador y ejecute
algunos comandos de configuración, y luego salga:

$ ssh cisco@rtrX
rtrX> enable
rtrX# config terminal
rtrX(config)# exit
rtrX> exit

No olvide salir del enrutador cuando termine. Si mucha gente ingresa en el
enrutador sin hacer logout, entonces otros no pueden entrar.
En su PC, vea si
/var/log/network/<año>/<mes>/<día>/

los mensajes están empezando a aparecer como

4

$ cd /var/log/network
$ ls
$ cd 2012
$ ls

. . . esto le mostrará el directorio para el mes . . . haga cd a este directorio

$ ls
... repita para el siguiente nivel (día del mes)
$ ls

Luego, use el programa ‘tail’ para mirar el final de los archivos en este directorio.
Los nombres son dinámicos, basados en el nombre del origen, así que use el
archivo que vea. Será algo como esto:

$ ls
rtr8-16.log
$ tail rtr8-16.log
... se muestran mensajes de registro ...

1.4 Resolver problemas con rsyslog

Si no aparece ningún archivo bajo la carpeta /var/log/network, entonces
puede probar otro comando en el enrutador para generar mensajes de registro.
Específicamente, el comando para bajar y subir una interfaz:

$ ssh cisco@rtrX
rtrX> enable
rtrX# conf t
rtrX(config)# interface Loopback 999
rtrX(config-if)# shutdown

Espere unos segundos

rtrX(config-if)# no shutdown

Luego salga y grabe la configuración (“write mem”):

rtrX(config-if)# exit
rtrX(config)# exit
rtrX# write memory
rtr1# exit

5

Mire si hay registros en /var/log/network

# cd /var/log/network
# ls
...siga la cascada de directorios

Aún no tiene registros?
Pruebe con el siguiente comando para enviar un mensaje de prueba localmente:

# logger -p local0.info "Hello World\!"

Si todavía no se ha creado un archivo bajo /var/log/network, revise si su
configuración tiene errores. No olvide reiniciar rsyslog cada vez que haga un
cambio en la configuración.
Qué otros comandos se le ocurren que podría ejecutar en el enrutador que
puedan generar mensajes de registro? (TENGA CUIDADO!). Podría intentar
ingresando al enrutador y escribiendo una clave incorrecta para “enable”.
No olvide ejecutar el comando “ls” en su directorio de registros para ver si se ha
creado un archivo nuevo.
FIN.

6
  • Links de descarga
http://lwp-l.com/pdf17289

Comentarios de: Gestión de Registros Parte I: rsyslog (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad