Chào tất cả anh em. Em mới vào nghề nên ít khinh nghiệm muốn hỏi các bác đi trước vấn đề sau: Em có một dống thiết bị mạng và server. Em muốn tập trung tất cả log của các thiết bị mạng và server đó về 1 máy được ko? Máy đó em cần cài phần mềm gì và cài như thế nào để có thể nhận log từ các máy khác. Nếu có thể các bác cho em biết thêm về cách cấu hình và sử dụng ldap và radius server thì càng tốt. Thanks all. 

@quanta: đổ log từ windows sao không xài thử Datagram SyslogAgent của lQ :P Anh thấy công cụ này rất hay. Còn tất cả các log như IIS,... thì do mình cấu hình thôi. Theo anh thì rất nên có 1 syslog server, không kể trường hợp bị tấn công thì cũng có những trường hợp hỏng hóc hdd hoặc phần cứng, khi đó có 1 syslog server thật đáng giá. Anh đã từng bị hỏng hdd của máy chủ mà không hay tới chừng hay thì không thể truy cập được vào máy chủ này. May mà có syslog server mới biết chuyện gì đang xảy ra. Tất nhiên là syslog server cũng có thể bị hỏng nhưng xác xuất 2 hoặc nhiều máy chủ hỏng cùng 1 lúc thì khó. Về traffic, anh thiết kế 1 mạng vpn local tất cả các traffic không cần public anh đều cho nó đi qua mạng này như log, snmp, monitor, database, backup, remote. Ngoài ra em cũng nên thử ossec, nó cũng có công cụ search log đơn giản và email alert. Thân. 

Nếu vấn đề kinh phí hạn chế thì thử: syslog-ng (UNIX) hoặc syslog-win32 (Windows). Hai cái này đòi hỏi kiến thức về cả UNIX và Windows vững để config.  

... Về traffic, anh thiết kế 1 mạng vpn local tất cả các traffic không cần public anh đều cho nó đi qua mạng này như log, snmp, monitor, database, backup, remote. Ngoài ra em cũng nên thử ossec, nó cũng có công cụ search log đơn giản và email alert. Thân. 

Mình thấy khi gởi log của client B về syslog-ng sever A thì chỉ nhận log của mail ( postfix ) , ssh , kernel ... từ B thôi , vậy mình muốn hỏi là có thể cấu hình để chuyển log của http , mysql từ B đổ về A được không . Thanks .  

hi MrMe, thằng syslog-ng đâu cần logrotate. Nó cho phép tạo các log files với các thông tin $DAY, $MONTH, $YEAR mà. Có điều dĩ nhiên nó sẽ ko tự nén để tiết kiệm không gian đĩa. Cũng ko nên lưu log dạng offline. Theo kinh nghiệm của tui thì logchỉ chiếm một phần nhỏ dung lượng. Hơn nữa có thể bị mất log, hoặc giả log.  

Với MySQL, tớ http://chaos.untouchable.net/index.php/HOWTO_setup_syslog-ng_to_log_to_mysql thôi, tức là: cấu hình syslog-ng để đưa các thông tin logs có được vào MySQL. Còn nếu muốn thì bạn có thể dùng... scp + cron job. 

Với MySQL, tớ http://chaos.untouchable.net/index.php/HOWTO_setup_syslog-ng_to_log_to_mysql thôi, tức là: cấu hình syslog-ng để đưa các thông tin logs có được vào MySQL. Còn nếu muốn thì bạn có thể dùng... scp + cron job. 

quanta wrote:

Với MySQL, tớ http://chaos.untouchable.net/index.php/HOWTO_setup_syslog-ng_to_log_to_mysql thôi, tức là: cấu hình syslog-ng để đưa các thông tin logs có được vào MySQL. Còn nếu muốn thì bạn có thể dùng... scp + cron job. 

Còn anh thì nghĩ khác, nên tập hợp các thông tin này lại vào trong database để dễ dàng tìm kiếm, dễ quản lý đâu cần phải nén lại gì đâu . Nếu cần thì có thể sử dụng web interface http://sourceforge.net/projects/php-syslog-ng/ để query những thông tin trong đó :) Nếu thành thạo câu lệnh SQL căn bản thì có thể query nó dễ dàng SELECT ... FROM ... ORDER BY ... 

Theo các bác thì có tool nào (syslog-ng ?) đáp ứng được yêu cầu sau không: 2. Đổ log về log server theo dạng real-time 

Theo các bác thì có tool nào (syslog-ng ?) đáp ứng được yêu cầu sau không: 1. Monitor sự thay đổi của 1 file bất kỳ (custom log file)  

Tui đang xem xét coi có giải pháp nào như vậy không: Monitor log file, xem changes về date, time, size chẳng hạn, xong đẩy về server  

Để đổ logs về từ Event Viewer mình search thấy vài cái tools như: + syslog-ng agent: 'món' này chỉ có trong bản Premium Edition của syslog-ng + Snare Eventlog Agent: mất phí + NTsyslog: cái này free, nhưng log đổ về phân loại không được tốt lắm. Tớ mới ngó qua thì thấy hình như nó không có cả IP của client nữa + EventReporter: 'món' này cũng mất phí luôn + ... Tớ đang thử lần lượt từng 'món' một để quyết định xem nên dùng 'món' nào. Tuy nhiên, anh em nào có kinh nghiệm trong vụ này xin 'quân sư' cho vài 'chiêu'. Ngoài ra, mình cũng còn cần theo dõi log của IIS, Microsoft Exchange, ...  

@quanta: đổ log từ windows sao không xài thử Datagram SyslogAgent của lQ :P Anh thấy công cụ này rất hay. Còn tất cả các log như IIS,... thì do mình cấu hình thôi. ...  

vài giây crontab "tail -f" 1 lần rồi gởi log về server thì có vẻ hơi thủ công thì phải :-? Ngoài ra, yêu cầu 1 & 2 phải đi cùng với nhau, log ở chế độ realtime, chứ không có tách ra "monitor changes" không được quanta ah ;) Monitor hệ thống thì tui đang thử OSSEC nhưng vấn đề monitor và realtime này là cho log server. 

Theo các bác thì có tool nào (syslog-ng ?) đáp ứng được yêu cầu sau không: 1. Monitor sự thay đổi của 1 file bất kỳ (custom log file) 2. Đổ log về log server theo dạng real-time 

Hôm nay quấn tã lôi cái chủ đề này lên :D. Tui đã thử apply 1 cái central log và thấy cũng ok. Mô hình như sau: Sử dụng server log là syslog-ng Các agent Windows sử dụng Snare Agent for Windows, còn Linux thì dùng chính syslogd Code:

Syslogd            |
                   -----> Syslog-ng open source
Snare for Windows  |

Agent và server liên lạc với nhau thông qua UDP và thời gian log cũng có thể coi như chế độ thực. Tui thử từ server này, gõ "sudo ls -l", bên central ngay lập tức có log của agent đó.