Remote Loggin Server dengan Rsyslog

syslog digunakan untuk menyimpan semua log dari server termasuk log server remote. aplikasi ini saya baik digunakan untuk menyimpan log dari perangkat-perangkat lain yang terpasang pada jaringan seperti cisco router/switch, mikrotik router dll.

langkah pertama yang harus dilakukan adalah siapkan server log pusat. disini  menggunakan centos 6.

install aplikasi remote syslog.

[root@ryslog log]# yum install rsyslog -y

setelah selesai di install dengan baik langkah selanjutnya adalah konfigurasi file rsyslog.

[root@ryslog log]#vi /etc/rsyslog.conf

pada file rsyslog.conf cari baris berikut dan hilangkah tanda # pada baris berikut.

# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514

menjadi

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

tambahkan juga

dari konfigurasi ini rsyslog akan mengijinkan network tertentu untuk mengirimkan log secara remote ke server rsyslog.
$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24
$AllowedSender TCP, 192.168.0.1

untuk log dari masing-masing perangkat yang terpasang dan akan di lakukan remote loggin dapat didefinisikan secara spesifik seperti dibawah ini.

:fromhost-ip,isequal,”192.168.0.1″                      /var/log/router.log

simpang perubahan yang sudah dilakukan.
konfigurasi diatas ini hanya bagian kecil dari konfigurasi rsyslog. untuk lebih jauh silahkan tanyakan mbah google.

jika menggunakan firewall iptables pastikan port 514 TCP dan UDP dibuka

[root@ryslog log]# /sbin/iptables -A INPUT -m tcp -p tcp –dport 514 -j ACCEPT

[root@ryslog log]# /sbin/iptables -A INPUT -m udp -p udp –dport 514 -j ACCEPT

restart rsyslog

[root@ryslog log]# /etc/init.d/rsyslog restart

buat file pada directore logrotate.d agar file log yang didefinisikan pada rsyslog bisa dirotasi sehingga kontrol space hard disk terjaga.

[root@ryslog log]#vi /etc/logrotate.d/router
isi file router

/var/log/router.log
{
daily
rotate 5
missingok
notifempty
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}

simpan perubahan.

sampai disini sudah bisa di lakukan konfigurasi pada syslog client.

contoh disini menggunakan mikrotik sebagai remote syslog client.

[admin@mikrotik] > /system loggin action set remote name=remote remote=192.168.0.50:514 target=remote
[admin@mikrotik] > /system logging
add action=memory disabled=no prefix=”” topics=info
add action=memory disabled=no prefix=”” topics=error
add action=memory disabled=no prefix=”” topics=warning
add action=echo disabled=no prefix=”” topics=critical
add action=memory disabled=no prefix=”” topics=system
add action=remote disabled=no prefix=”” topics=radius
add action=remote disabled=no prefix=”” topics=account

pastikan pada bagian action menjadi action=remote jika log tersebut dibutuhkan untuk di kirim ke server rsyslog.

sampai disini sudah selesai..

berikut hasil record mikrotik pada server rsyslog

[root@ryslog etc]# tail -f /var/log/router.log
Jan 10 18:14:57 router-xxx web-proxy,account 178.x.x.x POST http://api.iminent.com/ws/service.asmx action=allow cache=MISS
Jan 10 18:14:57 router-xxx web-proxy,account 178.x.x.x POST http://api.iminent.com/ws/service.asmx action=allow cache=MISS
Jan 10 18:14:57 router-xxx web-proxy,account 178.x.x.x GET http://rs4.scribd.com/2/3724869165/de.jsonp?callback=jsonp343022&es=WyJmb3VyZ2VuLnZpZXdjaGFuZ2UiXQ%3D%3D&ts=WzEzNTc3OTEyMTUuODA4XQ%3D%3D&vs=W1tbbnVsbCxudWxsXSxbbnVsbCxudWxs
Jan 10 18:14:57 router-xxx web-proxy,account D&ubtc=InU9ZGRjY2JjMTAtM2QwMy0wMTMwLTljOTktMDAyNTkwMmRlZTYwJmg9RDJBNVJlM082REpQ
Jan 10 18:14:59 router-xxx web-proxy,account 178.x.x.x HEAD http://fe1.ws.microsoft.com/w8/2/windowsupdate/redir/
Jan 10 18:14:59 router-xxx web-proxy,account 178.x.x.x GET http://www.msftncsi.com/ncsi.txt action=allow cache=MISS
Jan 10 18:14:59 router-xxx web-proxy,account 178.x.x.x POST http://www.facebook.com/ajax/chat/buddy_list.php action=allow cache=MISS
Jan 10 18:14:59 router-xxx web-proxy,account 178.x.x.x GET http://www.msftncsi.com/ncsi.txt action=allow cache=MISS
Jan 10 18:14:59 router-xxx web-proxy,account 178.x.x.x GET http://www.smadav.net/test/update-smadav.txt action=allow cache=MISS
Jan 10 18:15:01 router-xxx web-proxy,account 178.x.x.x HEAD http://fe1.ws.microsoft.com/w8/2/windowsupdate/redir/store-wuredir.cab?130
[root@ryslog etc]#

untuk menampilkan log agar lebih mudah dibaca gunakan log monitoring via web seperti loganalyzer.

semoga sukses..

About Sharing Data
Kami hanya ingin berbagi ilmu dan informasi

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: