حتما تا حالا این سوال برای شما پیش امده که چرا لاگ ها مهم هستند و چگونه و با چه ابزارهایی انها را ذخیره و تحلیل کنیم؟
مانیتورینگ و بررسی شبکه یکی از مهمترین کارهایی هست که یک ادمین شبکه باید انجام دهد تا در مواقع ایجاد اختلال و یا پیشگیری از مشکلاتی که ممکن است رخ دهد بتواند عملکرد مناسبی ارائه دهد، که یکی از این راه ها بررسی لاگ ها و ذخیره انهاست.
لاگ ها شامل فعالیت ها و اطلاعات حساس و مهم سیستم عامل وهر برنامه کاربردی هستند.
سه دلیل اصلی وجود دارد که نباید پیغام های لاگ را حذف کرد بلکه باید انها را مطالعه و مورد تجزیه و تحلیل قرار داد:
- Developers ، توسعه دهندگان نرم افزار ها برای پیدا کردن مشکلات و یا توسعه و بهبود نرم افزارهایشان نیاز به بررسی پیغام های لاگ مربوط به نرم افزارشان را پیدا می کنند.
- مدیران سیستم ها، دائما در حال بررسی کامپیوترها و سرورها هستند و باید مطمئن شوند که انها بدون مشکل کار می کنند انها با بررسی کردن لاگ ها می خواهند ببینند همه چیز بدرستی کار می کند یا اگرپیغام های مشکوکی وجود داشته باشد باید مورد بررسی قرار بگیرد.
- متخصصان امنیت، این افراد نیز از لاگ ها استفاده می کنند و انها را از جنبه ای مختلف مورد تجزیه وتحلیل قرار می دهند تا مشکلات امنیتی را شناسایی و به انها پاسخ دهند.
به دلایل بالا و دلایل زیاد دیگر نیاز هست که ما به راحتی به لاگ ها دسترسی داشته باشیم و بتونیم انها را مدیریت کنیم، همه ی تجهیزات در شبکه یعنی روتر ها ، سوییچ ها ، کامپیوترها ، سرورها و حتی پرینترها محلی برای ذخیره لاگ هاشون دارند که برای یک شبکه کوچک بررسی کردن لاگ های این تجهیزات شاید امکان پذیر باشد اما وقتی شبکه ما بزرگ باشد قطعا کاری غیر ممکن هست، ما در اینجا ابزاری مفید برای مدیریت متمرکز لاگ ها و بررسی راحت تر انها به شما معرفی می کنیم این شما و این هم KIWI Syslog Server ، که یکی از بهترین نرم افزار ها برای مدیریت لاگ ها می باشد و پیغام های Syslog را از تجهیزات شبکه مانند روتر ها ، سوییچ ها ، فایروال ها ، سرورهای ویندوزی و لینوکسی جمع اوری می کند.
Syslog Server یک راه عالی برای ادغام پیغام های log از منابع مختلف در یک مکان واحد هست.
ما در اینجا قصد داریم که روتر میکروتیک را به KIWI Syslog Server معرفی کنیم تا هم محلی جدا برای ذخیره لاگ هایمان داشته باشیم و هم بهتر بتونیم ان ها را آنالیز کنیم.
سناریوی ما به صورت زیر هست:
یک کلاینت با ادرس ۱۹۲٫۱۶۸٫۱۰۰٫۵۰ داریم که Winbox روی ان نصب شده.
یک سرور داریم که ESXI را روی ان نصب کردیم و روی یکی Virtual Machine با ویندوز سرور ۲۰۱۲ نرم افزار KIWI Syslog Server را نصب کردیم وIP ، ۱۹۲٫۱۶۸٫۱۰۰٫۱۰ را به ان اختصاص دادیم.
و یک روتر که روی Ether 2 ان ادرس ۱۹۲٫۱۶۸٫۱۰۰٫۱۰۰ هست که همرنج با شبکه داخلی ما هست.
برای پیاده سازی سناریو بدین صورت عمل می کنیم از طریق winbox روی کلاینتمون به میکروتیک متصل می شویم و به صورت زیر (طبق تصاویر)تعیین می کنیم که لاگ ها را به سرور Syslog ارسال کند.
در قسمت Name یک نام دلخواه برای این Actions وارد می کنیم و Type ان را حتما Remote انتخاب می کنیم.
Remote Address برابر هست با IP سروری که دارد Syslog server را ارائه می دهد و پورت پیش فرض برای این ارتباط ۵۱۴ هست.
ایجاد Action ارتباط با syslog Server با دستور در محیط New Terminal:
[admin@Router] > system logging action add name=kiwisyslog remote=192.168.100.10 remote-port=514 target=remote
سپس لاگ هایی را که می خواهیم در Syslog Server ببینیم باید در بخش Rules اکشن انها را برابر با Actionی که تعریف کرده اید قرار بدید که ما در اینجا نام ان را kiwisyslog را در نظر گرفتیم.
در قسمت Topics مواردی که می خواهیم لاگ های مربوط به ان را مشاهده کنیم را وارد می کنیم.
ایجاد Rule جدید با دستوردر محیط New Terminal:
[admin@Router] > system logging add topics=warning action=kiwisyslog
بعد از تنظیمات روتر حال باید نرم افزار KIWI Syslog را پیکربندی کنیم، در نرم افزار KIWI Syslog تنظیمات زیر را اعمال می کنیم تا روتر ما و دیگر تجهیزات موجود در شبکه در صورت پیکربندی بتوانند لاگ های خود را به این سرور ارسال کنند.
در بخشBind to address ادرس IP سرور Syslog را وارد کردیم تا دیگر تجهیزات بتوانند با لاگ سرور ما در ارتباط باشند.
نویسنده : مجتبی اسدی
برای تهیه این مطالب زمان صرف شده است ، با رعایت حق نویسنده و منبع به گسترش فرهنگ کپی رایت کمک کنیم.
کپی با ذکر نام سایت و نویسنده کاملا مجاز است.