Agenda: gestion-de-logs-swatch.txt

File gestion-de-logs-swatch.txt, 2.9 KB (added by admin, 9 years ago)
Line 
1AGestion y Monitoreo de Redes
2Usando Swatch por los Logs
3
4
5Notas:
6------
7* Comandos que empiezan con un "$" implica que deberia ejecutar el comando
8  como un usuario general - no como root.
9* Comandos que empiezan con un "#" implica que deberia trabajar como el usuario root.
10* Comandos con lineas mas especificas (como "pc1-pcx-rtr>" o "mysql>") implica que esta
11  ejecutando el comando en un equipo remoto o dentro otro programa.
12* Si una linea termina con un "\" esto indica que el comando sigue en la proxima
13  linea y Ud. deberia tratar el comando si como fuera en una sola linea.
14
15Ejercicios
16-----------
17
180. Haz un log in en su PC o abre una ventana de terminal como el usuario sysadmin.
19
20
211. Vamos a mandar todo los mensajes de logging a un solo archivo:
22
23        $ sudo vi /etc/syslog-ng/syslog-ng.conf
24
25        Y al find del archivo agrega la siguiente linea:
26
27destination everything {
28  file("/var/log/everything"
29    template("$DATE <$FACILITY.$PRIORITY> $HOST $MSG\n") template_escape(no)
30  );
31};
32log { source(s_all); destination(everything); };
33
34
35        Con esto tendremos todo los mensajes de logging llegando a un solo archivo
36        y, asi, podemos hacer monitoreo de los mensajes mas facilmente usando
37        Swatch.
38
39        Ahora reinitializa Syslog:
40
41        $ sudo /etc/init.d/syslogd restart
42
43
442. Haz un escripto para automatizar el proceso de mantener nuestro archvio de logs
45   a un tamano razonable:
46
47        $ sudo vi /etc/logrotate.d/everything
48
49        En el archvo escriba:
50
51/var/log/everything {
52  daily
53  copytruncate
54  rotate 1
55  postrotate
56        /etc/init.d/swatch restart
57  endscript
58}
59
60        Graba el archivo y sale.
61
62
633. Instala Swatch
64
65        - Swatch ya esta instalado en sus maquinas, pero el comando para instalarlo es:
66
67        $ sudo apt-get install swatch
68
69
704. Crea el archivo de /etc/swatch.conf y agrega las siguiente reglas al
71   archivo:
72
73        $ sudo vi /etc/swatch.conf
74
75watchfor /PRIV_AUTH_PASS/
76        mail=sysadmin,subject=Mode de enable habilitado
77        threshold type=limit,count=1,seconds=3600
78
79watchfor /CONFIG_I/
80        mail=sysadmin,subject=Configuracion de enrutador
81        threshold type=limit,count=1,seconds=3600
82
83watchfor /LINK-3-UPDOWN/
84        mail=sysadmin,subject=Cambio del estado de link
85        threshold type=limit,count=1,seconds=3600
86
87watchfor /SSH/
88        mail=sysadmin,subject=Coneccion a traves SSH
89        threshold type=limit,count=1,seconds=3600
90
91watchfor /ssh/
92        mail=sysadmin,subject=Coneccion a traves ssh
93        threshold type=limit,count=1,seconds=3600
94
955. Corre Swatch
96
97        $ sudo swatch -c /etc/swatch.conf --daemon
98
99        Verifica que Swatch esta corriendo:     
100
101        $ ps ax | grep swatch
102
103
1046. Conectate a su enrutador y haz algun cambio de config:
105
106        $ ssh rancid@rtrx               [X es "1" o "2" dependiendo en su grupo]
107        rtrX> enable
108        Password: <clave del curso>
109        rtrX# config terminal
110        rtrX(config)# int FastEthernet0/0
111        rtrX(config-int)# description Cambio de Description de FastEthernet0/0 por Swatch
112        rtrX(config-int)# ctrl-z
113        rtrX# write memory
114        rtrX# exit
115
116
1177. Revisa que esta recibiendo correos al usuario sysadmin desde Swatch
118
119        $ su - sysadmin
120        $ mutt -f /var/mail/sysadmin
121