HomePage > Articoli Tecnici > Configurare il Syslog
CONFIGURARE UN SERVER SYSLOG
Un server SYSLOG è un punto centrale dove far arrivare tutti i messaggi di errore dei vari apparati hardware e software di una rete quali router, switch, server, stampanti ecc... per avere un controllo centralizzato degli errori degli apparati. Per mettere in piedi un sistema di Syslog occorre un software da installare su un server e successivamente configurare gli apparati da monitorare.
Configurando gli apparati andiamo a dirgli di inviare i messaggi di errore ad un server principale.
Configurazione del server Syslog
Procuriamoci un server ed installiamo un deamon software che faccia da Syslog.
Esistono software commerciali ma anche Freeware come ad esempio "Kiwi Syslog Daemon" prelevabile gratuitamente su www.kiwisyslog.com
L'installazione non necessita di configurazioni particolari:una volta installato il software è pronto per ricevere i trap (le informazioni) dai vari apparati, bisogna solo andare nel Menù "Manage" e cliccare su "Install the Syslog service" (in modo da farlo partire come servizio) e poi su "Start the Syslogd service" per farlo partire immediatamente.L'importante è assegnare un indirizzo IP statico al server (nel caso nostro 192.168.1.40) e che il server sia raggiungibile dagli apparati da monitorare.
Per essere raggiungibile al di fuori della propria sottorete bisogna aprire sul Firewall solo la porta UDP 514 che è la porta sulla quale il server rimane in ascolto.
A scopo informativo, gli apparati per spedire i trap utilizzano (ma non sempre) la porta UDP 1023.
Il server è pronto!Il seguente è uno screenshot del programma in questione:
Configurazione dei router e switch Cisco
Collegarsi al router (o switch) in consolle e digitare i seguenti comandi:
Router> enable (e digitare la password)
Router# configure terminal
Router(config)# loggin trap critical
Router(config)# logging 192.168.1.40
Router(config)# logging on
Router(config)# exit
Router# copy running-config startup-configIn pratica siamo andati a dire di loggare gli eventi critici e di inviarli verso un server Syslog con IP 192.168.1.40
Le altre possibilità che abbiamo di filtrare gli errori negli apparati Cisco (con il comando "logging trap xxxx") sono:
alerts Necessaria azione correttiva immediata critical Condizione Critica debugging Messaggi di Debug emergencies Sistema inutilizzabile errors Condizione di errore informational Messaggi informativi notifications Normale ma condizione significativa warnings Condizione di attenzione Configurazione dei server Linux
Editare il file /etc/syslog.conf ed aggiungere la seguente riga di configurazione:
*.* @192.168.1.40
Salvare e riavviare Linux
Configurazione dei server WindowsI Syslog Trap non vengono supportati nativamente da Windows ma una società distribuisce un software freeware che converte i messaggi di errore loggati solitamente nell'Event Viewer in messaggi syslog.
Il software è scaricabile dal sito www.syslogserver.com e si chiama "Datagram SysloAgent"
Bisogna installarlo come servizio, indicare quali errori monitorare e qual'è il server Syslog.
Il seguente è uno screenshot del programma in questione:
Nota
Il servizio Syslog presenta alcune lacune in termini di sicurezza, in particolare se viene usato via rete: i dati passano in chiaro e possono essere spoofati e manipolati.HomePage | Informazioni | Contatti |
