Come posso ricevere i log di syslog da un sistema in rete?

Vorrei configurare Ubuntu per ricevere i log da un router DD-WRT. La schermata di configurazione del router contiene la seguente sezione:

e la sua documentazione di registrazione recita:

Se si desidera inviare registri a un sistema remoto, immettere l'indirizzo IP di quella macchina che esegue anche un'utilità syslog (è necessario un socket di rete aperto per accettare i registri inviati dal router).

Non ho mai usato (consapevolmente) syslog prima. Cosa devo fare in Ubuntu per consentirgli di ricevere questi registri?

L'host che riceve i registri dovrà eseguire un demone syslog configurato per l'ascolto dei registri remoti. Esistono diverse implementazioni di syslog in Ubuntu, marsyslog genere è consigliato e dovrebbe essere installato di default. Non posso dire dalla documentazione nel link che hai pubblicato se DD-WRT sta inviando registri tramite TCP o UDP, quindi potrebbe essere necessario un po 'di sperimentazione per trovare esattamente le impostazioni corrette, se sei preoccupato di ridurre il numero di accessi alla rete porte sul tuo host.

Esistono due modi per abilitarlo: il primo è più semplice, ma può richiedere una reintegrazione quando il sistema viene aggiornato. Il secondo è leggermente più complicato e può causare risultati confusi se ci sono modifiche significative alla configurazione di syslog come parte di un aggiornamento. Vorrei scegliere il secondo, ma le tue preferenze possono variare.

Il primo è modificare /etc/rsyslogd.confe rimuovere l'iniziale #dalle seguenti righe:

# $ ModLoad imudp
# $ UDPServerRun 514

o

# $ ModLoad imtcp
# $ InputTCPServerRun 514

Il secondo è quello di creare un nuovo file, forse chiamato local-enable-tcp.confin /etc/rsyslog.d/, con il seguente contenuto:

# abilita la ricezione del syslog TCP
$ ModLoad imtcp
$ InputTCPServerRun 514

Se si desidera utilizzare l'approccio file separato e è necessario UDP, modificare i contenuti in modo che corrispondano alla stanza UDP sopra. Il nome file specifico non è importante, ma si consiglia di avviarlo con "local-" poiché questo spazio dei nomi è riservato alla configurazione dell'amministratore locale e deve terminare con ".conf", poiché solo i file che terminano in questo modo vengono automaticamente inclusi nella configurazione rsyslog.

Se preferisci utilizzare un'altra implementazione di syslog, controlla la configurazione e la documentazione per tale implementazione: è probabile che il demone syslog sia configurato per non ascoltare in rete per impostazione predefinita, ma una configurazione di esempio per abilitare questo caso comune dovrebbe essere chiaramente documentata.

Un'altra opzione è usare syslog-ng, facile da usare e finora pronto per l'uso!

sudo apt-get install syslog-ng

Dopo averlo installato, abbiamo un file conf in /etc/syslog-ng/syslog-ng.conf Quindi, basta modificare questo .conf con i nostri parametri, ma prima di ciò, fare un backup del file di configurazione predefinito, può essere utile in seguito se vuoi sintonizzare alcuni parametri

sudo mv /etc/syslog-ng/syslog-ng.conf /etc/syslog-ng/syslog-ng.conf.bak

Ora crea un nuovo file di configurazione e modificalo!

sudo touch /etc/syslog-ng/syslog-ng.conf
sudo nano /etc/syslog-ng/syslog-ng.conf

Quindi, basta incollare questa configurazione di base per funzionare anche:

# Listening to incoming UDP Syslog connections
source mysource { udp(); };

#Add the syslog targets:

destination dest { file("/var/log/Cisco$YEAR$MONTH$R_DAY.log"); };
#destination dest_other_server { udp("1.2.3.4" port(514)); };
#Create the filters that will be used to determine what to do with the received syslog message

#filter filter { ( host("2.3.4.5") and level(notice) and match("username=.*@domain\.local" value("MESSAGE") flags("utf8" "ignore-case")) ); };
filter myfilter { ( level(notice) ); };
#And putting it all together:

log { source(mysource); filter(myfilter); destination(dest);  };

Facile come puoi vedere. Stai attento!

Fondamentalmente, esegui un demone (chiamato syslogd) sul tuo server per il router dd-wrt in cui pubblicare i log.

Tutorial- http://www.techiecorner.com/1479/how-to-setup-syslog-server-in-ubuntu/