Centralized Log Server menggunakan rsyslog

Posted by on June 23, 2014 Leave a comment (0) Go to comments

Centralized Log Server menggunakan rsyslog

remote-syslog
Centralized log server itu apa?, jadi intinya kita akan membuat server yang nantinya akan menampung log-log dari server lain, bisa dari sitem lain misalkan Mikrotik, Cisco, Windows, ataupun keluarga sistem BSD/Linux. Yang kita akan gunakan disini adalah aplikasi rsyslog, kenapa rsyslog, bukan syslog-ng atau yang lainya?, jawabanya mudah saja, ya karena yang pernah saya pelajari itu 😀
Langkah pertama adalah menginstall paket yang kita butuhkan yaitu rsyslog, disini saya akan menggunakan Centos Linux, maka saya akan menggunakan pertintah yum berikut

yum install -y rsyslog

Setelah paket rsyslog terintall maka selanjutnya kita modifikasi konfigurasi rsyslog /etc/rsyslog.conf

vi /etc/rsyslog.conf

Pertama aktifkan opsi berikut dengan menghilangkan tanda pagar sehingga seperti berikut

$ModLoad imudp
$UDPServerRun 514

Kita asumsikan disini komputer syslog server menggunakan alamat ip 10.55.1.172 dan client syslog menggunakan alamat ip 10.55.1.35, maka selanjutnya kita tambahkan alamat ip client dalam daftar client dengan menambahkan baris berikut pada file konfigurasi rsyslog /etc/rsyslog.conf

$AllowedSender UDP, 10.55.1.35/32
if $fromhost-ip startswith '10.55.1.35' then /var/log/10.55.1.35.log

Dari opsi di atas kita akan set log yang di kirimkan dari alamat ip 10.55.1.35 maka akan di tulis ke dalam file /var/log/10.55.1.35.log. Sampai disini konfigurasi di sisi server kita cukupkan sampai disini, maka setelah itu kita restart service rsyslognya

/etc/init.d/rsyslog restart

selanjutnya kita buat konfigurasi di sisi client, disini anggap saja client juga sudah terinstall rsyslog nya dan sekarang kita tinggal mengkonfigurasinya

vi /etc/rsyslog.conf

Pada bagian bawah, file konfigurasi tambahkan opsi berikut

authpriv.* @10.55.1.172:514

Selanjutnya restart service rsyslog nya

/etc/init.d/rsyslog restart

Setelah itu kita coba login ke mesin 10.55.1.35 dengan menggunakan password yang salah, maka seharusnya log dari host dengan alamat ip 10.55.1.35 akan di kirimkan ke server log dengan ip 10.55.1.172 dan di tuliskan pada file /var/log/10.55.1.35.log dengan hasil log seperti berikut

Jun 23 20:59:53 rc sshd[6996]: Failed password for root from 10.13.254.172 port 46778 ssh2
Jun 23 20:59:54 rc sshd[6996]: Failed password for root from 10.13.254.172 port 46778 ssh2
Jun 23 20:59:54 rc sshd[6996]: Connection closed by 10.13.254.172 [preauth]

CentOS Linux, Linux, Security

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>