AGestion y Monitoreo de Redes Usando Swatch por los Logs Notas: ------ * Comandos que empiezan con un "$" implica que deberia ejecutar el comando como un usuario general - no como root. * Comandos que empiezan con un "#" implica que deberia trabajar como el usuario root. * Comandos con lineas mas especificas (como "pc1-pcx-rtr>" o "mysql>") implica que esta ejecutando el comando en un equipo remoto o dentro otro programa. * Si una linea termina con un "\" esto indica que el comando sigue en la proxima linea y Ud. deberia tratar el comando si como fuera en una sola linea. Ejercicios ----------- 0. Haz un log in en su PC o abre una ventana de terminal como el usuario sysadmin. 1. Vamos a mandar todo los mensajes de logging a un solo archivo: $ sudo vi /etc/syslog-ng/syslog-ng.conf Y al find del archivo agrega la siguiente linea: destination everything { file("/var/log/everything" template("$DATE <$FACILITY.$PRIORITY> $HOST $MSG\n") template_escape(no) ); }; log { source(s_all); destination(everything); }; Con esto tendremos todo los mensajes de logging llegando a un solo archivo y, asi, podemos hacer monitoreo de los mensajes mas facilmente usando Swatch. Ahora reinitializa Syslog: $ sudo /etc/init.d/syslogd restart 2. Haz un escripto para automatizar el proceso de mantener nuestro archvio de logs a un tamano razonable: $ sudo vi /etc/logrotate.d/everything En el archvo escriba: /var/log/everything { daily copytruncate rotate 1 postrotate /etc/init.d/swatch restart endscript } Graba el archivo y sale. 2. Instala Swatch $ sudo apt-get install swatch 3. Crea el archivo de /etc/swatch.conf y agrega las siguiente reglas al archivo: $ sudo vi /etc/swatch.conf watchfor /PRIV_AUTH_PASS/ mail=sysadmin,subject=Mode de enable habilitado threshold type=limit,count=1,seconds=3600 watchfor /CONFIG_I/ mail=sysadmin,subject=Configuracion de enrutador threshold type=limit,count=1,seconds=3600 watchfor /LINK-3-UPDOWN/ mail=sysadmin,subject=Cambio del estado de link threshold type=limit,count=1,seconds=3600 watchfor /SSH/ mail=sysadmin,subject=Coneccion a traves SSH threshold type=limit,count=1,seconds=3600 watchfor /ssh/ mail=sysadmin,subject=Coneccion a traves ssh threshold type=limit,count=1,seconds=3600 4. Corre Swatch $ sudo swatch -c /etc/swatch.conf --daemon Verifica que Swatch esta corriendo: $ ps ax | grep swatch 5. Conectate a su enrutador y haz algun cambio de config: $ ssh rancid@grupoX-rtr [donde "X" es .65 or .129] pc1-pcx-rtr> enable Password: pc1-pcx-rtr# config terminal pc1-pcx-rtr(config)# int FastEthernet0/0 pc1-pcx-rtr(config-int)# description Cambio de Description de FastEthernet0/0 por Swatch pc1-pcx-rtr(config-int)# ctrl-z pc1-pcx-rtr# write memory pc1-pcx-rtr# exit 6. Revisa que esta recibiendo correos al usuario sysadmin desde Swatch $ su - sysadmin $ mutt -f /var/mail/sysadmin