Gestion y Monitoreo de Redes Usando syslog-ng Notas: ------ * Comandos que empiezan con un "$" implica que deberia ejecutar el comando como un usuario general - no como root. * Comandos que empiezan con un "#" implica que deberia trabajar como el usuario root. * Comandos con lineas mas especificas (como "GW-RTR>" o "mysql>") implica que esta ejecutando el comando en un equipo remoto o dentro otro programa. * Si una linea termina con un "\" esto indica que el comando sigue en la proxima linea y Ud. deberia tratar el comando si como fuera en una sola linea. Ejercicios ----------- Ejercicios Parte I ------------------ 0. Haz un log in en su PC o abre una ventana de terminal como el usuario sysadmin. 1. Instalacion de syslog-ng $ sudo apt-get install syslog-ng 2. Abre /etc/syslog-ng/syslog-ng.conf $ sudo vi /etc/syslog-ng/syslog-ng.conf Encuentra las lineas: # (this is equivalent to the "-r" syslogd flag) # udp(); y cambiarlas a: # (this is equivalent to the "-r" syslogd flag) udp(); Al fin del archivo agrega (usa copia y pegar!): filter f_routers { facility(local5); }; log { source(s_all); filter(f_routers); destination(routers); }; destination routers { file("/var/log/network/$YEAR/$MONTH/$DAY/$HOST-$YEAR-$MONTH-$DAY-$HOUR.log" owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes) template("$YEAR $DATE $HOST $MSG\n")); }; 3. Crear el directorio /var/log/network $ sudo mkdir /var/log/network/ 4. Reinitializa syslog-ng: $ sudo /etc/init.d/syslog-ng restart 5. Ya hemos configurado los enrutadores para que mandan mensajes de syslog a su servidor: Aqui es que hicemos por el grupo 1: grupo1-rtr> enable [en] grupo1-rtr# config terminal [conf t] grupo1-rtr(config)# logging 10.10.10.71 grupo1-rtr(config)# logging 10.10.10.72 grupo1-rtr(config)# logging 10.10.10.73 grupo1-rtr(config)# logging 10.10.10.74 grupo1-rtr(config)# logging 10.10.10.75 grupo1-rtr(config)# logging 10.10.10.76 grupo1-rtr(config)# logging 10.10.10.77 grupo1-rtr(config)# logging 10.10.10.78 grupo1-rtr(config)# logging 10.10.10.79 grupo1-rtr(config)# logging 10.10.10.80 grupo1-rtr(config)# logging 10.10.10.81 grupo1-rtr(config)# logging 10.10.10.82 grupo1-rtr(config)# logging 10.10.10.83 grupo1-rtr(config)# logging 10.10.10.84 grupo1-rtr(config)# logging 10.10.10.85 grupo1-rtr(config)# logging 10.10.10.86 grupo1-rtr(config)# logging 10.10.10.87 grupo1-rtr(config)# logging 10.10.10.88 grupo1-rtr(config)# logging facility local5 grupo1-rtr(config)# logging userinfo grupo1-rtr(config)# exit [ctrl-z] grupo1-rtr# write memory [wr mem] grupo1-rtr# exit No es necesary que Ud. haz algo. 6. En su PC revisa si hay mensajes bajo los directorios de /var/log/network $ ls /var/log/network/2010/08/06/... Si no hay nada haz un login a la enrutador de su grupo y corre un comando de configuracion, sale de enrutador y revisa los logs de nuevo. Por ejemplo: $ ssh rancid@grupox-rtr [x es "1" o "2" dependiendo en su grupo] password: pc1-pcx-rtr> enable password: pc1-pcx-rtr# conf t pc1-pcx-rtr(config)# int FastEthernet0/0 pc1-pcx-rtr(config-if)# description Modulo Ethernet 0/0 pc1-pcx-rtr(config-if)# ctrl-z pc1-pcx-rtr# wr mem Building configuration... [OK] pc1-pcx-rtr# exit $ ls /var/log/network/2010/08/06/... $ more /var/log/network/2010/08/06/10.10.10.* etc...