Agenda: gestion-de-logs-swatch.txt

File gestion-de-logs-swatch.txt, 2.9 KB (added by admin, 9 years ago)
Line 
1AGestion y Monitoreo de Redes
2Usando Swatch por los Logs
3
4
5Notas:
6------
7* Comandos que empiezan con un "$" implica que deberia ejecutar el comando
8  como un usuario general - no como root.
9* Comandos que empiezan con un "#" implica que deberia trabajar como el usuario root.
10* Comandos con lineas mas especificas (como "pc1-pcx-rtr>" o "mysql>") implica que esta
11  ejecutando el comando en un equipo remoto o dentro otro programa.
12* Si una linea termina con un "\" esto indica que el comando sigue en la proxima
13  linea y Ud. deberia tratar el comando si como fuera en una sola linea.
14
15Ejercicios
16-----------
17
180. Haz un log in en su PC o abre una ventana de terminal como el usuario sysadmin.
19
201. Vamos a mandar todo los mensajes de logging a un solo archivo:
21
22        $ sudo vi /etc/syslog-ng/syslog-ng.conf
23
24        Y al find del archivo agrega la siguiente linea:
25
26destination everything {
27  file("/var/log/everything"
28    template("$DATE <$FACILITY.$PRIORITY> $HOST $MSG\n") template_escape(no)
29  );
30};
31log { source(s_all); destination(everything); };
32
33
34        Con esto tendremos todo los mensajes de logging llegando a un solo archivo
35        y, asi, podemos hacer monitoreo de los mensajes mas facilmente usando
36        Swatch.
37
38        Ahora reinitializa Syslog:
39
40        $ sudo /etc/init.d/syslogd restart
41
42
432. Haz un escripto para automatizar el proceso de mantener nuestro archvio de logs
44   a un tamano razonable:
45
46        $ sudo vi /etc/logrotate.d/everything
47
48        En el archvo escriba:
49
50/var/log/everything {
51  daily
52  copytruncate
53  rotate 1
54  postrotate
55        /etc/init.d/swatch restart
56  endscript
57}
58
59        Graba el archivo y sale.
60
61
622. Instala Swatch
63
64        $ sudo apt-get install swatch
65
663. Crea el archivo de /etc/swatch.conf y agrega las siguiente reglas al
67   archivo:
68
69        $ sudo vi /etc/swatch.conf
70
71watchfor /PRIV_AUTH_PASS/
72        mail=sysadmin,subject=Mode de enable habilitado
73        threshold type=limit,count=1,seconds=3600
74
75watchfor /CONFIG_I/
76        mail=sysadmin,subject=Configuracion de enrutador
77        threshold type=limit,count=1,seconds=3600
78
79watchfor /LINK-3-UPDOWN/
80        mail=sysadmin,subject=Cambio del estado de link
81        threshold type=limit,count=1,seconds=3600
82
83watchfor /SSH/
84        mail=sysadmin,subject=Coneccion a traves SSH
85        threshold type=limit,count=1,seconds=3600
86
87watchfor /ssh/
88        mail=sysadmin,subject=Coneccion a traves ssh
89        threshold type=limit,count=1,seconds=3600
90
914. Corre Swatch
92
93        $ sudo swatch -c /etc/swatch.conf --daemon
94
95        Verifica que Swatch esta corriendo:     
96
97        $ ps ax | grep swatch
98
995. Conectate a su enrutador y haz algun cambio de config:
100
101        $ ssh rancid@grupoX-rtr         [donde "X" es .65 or .129]
102        pc1-pcx-rtr> enable
103        Password: <clave del curso>
104        pc1-pcx-rtr# config terminal
105        pc1-pcx-rtr(config)# int FastEthernet0/0
106        pc1-pcx-rtr(config-int)# description Cambio de Description de FastEthernet0/0 por Swatch
107        pc1-pcx-rtr(config-int)# ctrl-z
108        pc1-pcx-rtr# write memory
109        pc1-pcx-rtr# exit
110
111
1126. Revisa que esta recibiendo correos al usuario sysadmin desde Swatch
113
114        $ su - sysadmin
115        $ mutt -f /var/mail/sysadmin
116