iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 11
1
Security

不專業infra甘苦談系列 第 11

Day-11 ISMS叫我們要收集log,我只好去研究Rsyslog

  • 分享至 

  • xImage
  •  

前言

如題,因為我是公司的Infra,所以算是機房管理者兼伺服器管理者,所以這次公司導入ISO27001,我一瞬間人生多了好多表單,你要連訪客WiFi?請填表單,你要開虛擬機?請填表單,你要安裝作業系統?那一定會開到帳號請填表單,你要跨網段存取喔?請填防火牆條件表單,哈哈,滿世界的表單,搞得我同仁都不太敢叫我開權限給他們,每請我協助一件事情就幾乎要填一張表單XD,我就不說我老闆要借電腦,也要填表單,哈哈,超級有趣。
其中一條就是要收集網路設備及重要設備的Log,要拿來對照資安事件,後續還要對Log進行監控和隨時可以調閱,目前只是叫我單純的先收集下來,本來專案上就有ELK的架構,但是我老大(主管兼老闆)說Logstash不知道有沒有濾掉什麼欄位,所以叫我先用Rsyslog來收集,我只好再去看了一下Rsyslog怎麼寫設定檔的,一天就把他弄好了,可能是因為我要的功能只是收集而已,所以還算簡單,就上來紀錄一下拉~

Rsyslog

  • Rsyslog為Ubuntu和Centos原生收集log的系統,所以不用經過下載就有了,甚至還運行著,所以直接去改設定檔。
  • 修改 /etc/rsyslog.conf
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

$template remote-incoming-logs,"/tmp/nassmb/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
& ~
  • 簡單來說就是將專門收syslog的514 Port TCP/UDP開啟監聽,並宣告一個log的模板與路徑來儲存收集到的log。

  • 接著重啟Rsyslog即可。

sudo systemctl restart rsyslog
  • 可以下指令查看514是否有監聽中。
ss -tunelp | grep 514
  • 如果有防火牆的記得打開喔~
  • 接著就要去設種網路設備及伺服器中設定將syslog傳送過來,通常網路設備設定較簡單,只需要你輸入Rsyslog的主機IP,有時候連Port都不能改,就可以傳送syslog,Esxi我也是找了一下,算是挺好設定的,設定好接收IP後開啟防火牆服務即可傳送,大家可以去嘗試看看,非常簡單。

上一篇
Day-10 Workstation自架虛擬機
下一篇
Day12-ESXi 安裝流程
系列文
不專業infra甘苦談30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言