如題,因為我是公司的Infra,所以算是機房管理者兼伺服器管理者,所以這次公司導入ISO27001,我一瞬間人生多了好多表單,你要連訪客WiFi?請填表單,你要開虛擬機?請填表單,你要安裝作業系統?那一定會開到帳號請填表單,你要跨網段存取喔?請填防火牆條件表單,哈哈,滿世界的表單,搞得我同仁都不太敢叫我開權限給他們,每請我協助一件事情就幾乎要填一張表單XD,我就不說我老闆要借電腦,也要填表單,哈哈,超級有趣。
其中一條就是要收集網路設備及重要設備的Log,要拿來對照資安事件,後續還要對Log進行監控和隨時可以調閱,目前只是叫我單純的先收集下來,本來專案上就有ELK的架構,但是我老大(主管兼老闆)說Logstash不知道有沒有濾掉什麼欄位,所以叫我先用Rsyslog來收集,我只好再去看了一下Rsyslog怎麼寫設定檔的,一天就把他弄好了,可能是因為我要的功能只是收集而已,所以還算簡單,就上來紀錄一下拉~
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
$template remote-incoming-logs,"/tmp/nassmb/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
& ~
簡單來說就是將專門收syslog的514 Port TCP/UDP開啟監聽,並宣告一個log的模板與路徑來儲存收集到的log。
接著重啟Rsyslog即可。
sudo systemctl restart rsyslog
ss -tunelp | grep 514