Agenda: gestion-de-logs-syslog-ng.txt

Gestion y Monitoreo de Redes
Usando syslog-ng

Notas:
------
* Comandos que empiezan con un "$" implica que deberia ejecutar el comando 
  como un usuario general - no como root.
* Comandos que empiezan con un "#" implica que deberia trabajar como el usuario root.
* Comandos con lineas mas especificas (como "GW-RTR>" o "mysql>") implica que esta
  ejecutando el comando en un equipo remoto o dentro otro programa.
* Si una linea termina con un "\" esto indica que el comando sigue en la proxima
  linea y Ud. deberia tratar el comando si como fuera en una sola linea.

Ejercicios
-----------

Ejercicios Parte I
------------------

0. Haz un log in en su PC o abre una ventana de terminal como el usuario sysadmin.

1. Instalacion de syslog-ng

        $ sudo apt-get install syslog-ng

2. Abre /etc/syslog-ng/syslog-ng.conf

        $ sudo vi /etc/syslog-ng/syslog-ng.conf

Encuentra las lineas:

        # (this is equivalent to the "-r" syslogd flag)
        # udp();

y cambiarlas a:

        # (this is equivalent to the "-r" syslogd flag)
        udp();

Al fin del archivo agrega (usa copia y pegar!):

filter f_routers { facility(local5); };
log {
        source(s_all);
        filter(f_routers);
        destination(routers);
};
destination routers {
 file("/var/log/network/$YEAR/$MONTH/$DAY/$HOST-$YEAR-$MONTH-$DAY-$HOUR.log"
 owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes)
 template("$YEAR $DATE $HOST $MSG\n"));
};

3. Crear el directorio /var/log/network

        $ sudo  mkdir /var/log/network/

4. Reinitializa syslog-ng:

        $ sudo /etc/init.d/syslog-ng restart

5. Ya hemos configurado los enrutadores para que mandan mensajes de syslog a su servidor:

        Aqui es que hicemos por el grupo 1:

        grupo1-rtr> enable                              [en]
        grupo1-rtr# config terminal                     [conf t]
        grupo1-rtr(config)# logging 10.10.10.71
        grupo1-rtr(config)# logging 10.10.10.72
        grupo1-rtr(config)# logging 10.10.10.73
        grupo1-rtr(config)# logging 10.10.10.74
        grupo1-rtr(config)# logging 10.10.10.75
        grupo1-rtr(config)# logging 10.10.10.76
        grupo1-rtr(config)# logging 10.10.10.77
        grupo1-rtr(config)# logging 10.10.10.78
        grupo1-rtr(config)# logging 10.10.10.79 
        grupo1-rtr(config)# logging 10.10.10.80
        grupo1-rtr(config)# logging 10.10.10.81
        grupo1-rtr(config)# logging 10.10.10.82
        grupo1-rtr(config)# logging 10.10.10.83
        grupo1-rtr(config)# logging 10.10.10.84
        grupo1-rtr(config)# logging 10.10.10.85 
        grupo1-rtr(config)# logging 10.10.10.86
        grupo1-rtr(config)# logging 10.10.10.87
        grupo1-rtr(config)# logging 10.10.10.88
        grupo1-rtr(config)# logging facility local5
        grupo1-rtr(config)# logging userinfo
        grupo1-rtr(config)# exit                        [ctrl-z]
        grupo1-rtr# write memory                        [wr mem]
        grupo1-rtr# exit

        No es necesary que Ud. haz algo.

6. En su PC revisa si hay mensajes bajo los directorios de /var/log/network

        $ ls /var/log/network/2010/08/06/...

        Si no hay nada haz un login a la enrutador de su grupo y corre un comando de
        configuracion, sale de enrutador y revisa los logs de nuevo. Por ejemplo: 

        $ ssh rancid@grupox-rtr         [x es "1" o "2" dependiendo en su grupo]
        password: <clave del curso>
        pc1-pcx-rtr> enable
        password: <clave del curso>
        pc1-pcx-rtr# conf t
        pc1-pcx-rtr(config)# int FastEthernet0/0
        pc1-pcx-rtr(config-if)# description Modulo Ethernet 0/0 
        pc1-pcx-rtr(config-if)# ctrl-z
        pc1-pcx-rtr# wr mem
        Building configuration...
        [OK]
        pc1-pcx-rtr# exit

        $ ls /var/log/network/2010/08/06/...
        $ more /var/log/network/2010/08/06/10.10.10.*

        etc...