페도라OS syslogd 원격서비스 문제?

tcpdump으로 원인 분석이 안될 경우 아래내용을 참고해서 하나하나 다시

한번 확인해보시면 해결에 실마리를 찾으실수 있을 것입니다.

아래에 syslogd + logcheck(log reporter) 연동(?) 해서 제가 사용하는 내용이니

도움이 되시길....

원격로그서버syslogd + 로그리포터logwatch 가이드
================================================

(UDP 514 port는 syslog가 사용하고 있다)

    - 목차 -
1. 설치환경
2. 로그 메세지를 보내는 리눅스 서버
3. 로그 메세지를 받는 리눅스 서버 (hostname1)
4. Packet 송/수신의 정상 여부 확인
5. Logcheck 설정 (LOG REPORTING)

●1. 설치환경
  . OS: Redhat Linux 7.3
  . Kernel: 2.4.31
  . Tools : sysklogd-1.4.1-8
  . packet을 보내는 리눅스 서버: 192.168.0.5
  . packet을 받는   리눅스 서버(로그서버): 192.168.0.10

●2. 로그 메세지를 보내는 리눅스 서버
 
(1) /etc/syslog.conf 파일 수정
192.168.1.5#> vi /etc/syslog.conf
kern.*                                                   @hostname
*.info;mail.none;news.none;authpriv.none;cron.none       @hostname

----[작성 예제]-------------------------------------------------------------

# 간단하게 모든 메세지를 원격 호스트로 포워딩.
*.*            @hostname1

# 모든 커널 메세지를 원격 호스트로 포워딩.
kern.*         @hostname1

# 로컬에도 기록하면서 원격으로도 기록을 남김 (실패할 경우 대비)
kern.crit                    @hostname1
kern.crit                    /dev/console

----------------------------------------------------------------------------

(2) hosts 파일 수정
 DNS 등록되지 않은 IP 를 사용하시는 경우, 각각의 머신에대한 도메인 네임과 IP를 
 /etc/hosts 를 임의로 등록.
192.168.1.5#>  vi /etc/host
192.168.1.10       hostname1   # Log Server

(3) syslog 재실행
#> service syslog restart  or /etc/rc.d/init.d/syslog restart

●3. 로그 메세지를 받는 리눅스 서버 (hostname1)

(1) -r 옵션으로 syslogd 실행
192.168.1.10#> vi /etc/sysconfig/syslog ( -r 옵션을 주어 syslogd 실행되도록 수정.)
SYSLOGD_OPTIONS="-m 0 -r"

(2) /etc/syslog.conf 확인, 주석제거 및 로그저장될 파일 명시(/var/log/messages)
192.168.1.10#> vi /etc/syslog.conf
kern.*                                                   /var/log/messages
*.info;mail.none;news.none;authpriv.none;cron.none       /var/log/messages

(3) syslog 재실행
192.168.1.10#> service syslog restart

●4. Packet 송/수신의 정상 여부 확인
-패킷을 보내는 리눅스 서버 : 111.111.111.111
-패킷을 받는 리눅스 서버   : 222.222.222.222

(1) 패킷이 정상적으로 송신되는지 테스트
패킷을 보내는서버#>   tcpdump  dst host 222.222.222.222 and dst port 514 [enter]

(2) 패킷을 정상적으로 수신하는지 테스트
패킷을 받는 리눅스 서버#>  tcpdump src host 111.111.111.111 and  dst port 514 [enter]

●5. Logcheck 설정 (LOG REPORTING)
아무리 좋은 원격 로그 서버를 만들어놔도 직접 모니터링 할 수 없다면 큰 의미를 주지 못한다.
   *   Logcheck - www.psionic.com (추천)
   *   Swatch - www.swatch.org

logcheck는 보안 위반사항이나 비정상적인 행위를 발견하기 위해 시스템 로그파일들을 자동으로
정검해 주는 패키지이며, 로그파일 중 마지막에 읽은 위치를 기억해 주는 logtail이라는 프로그램을
사용하여 다음번 점검시 중복된 검사를 피하기 위해 사용되어짐.

192.168.0.10#> wget http://www.sionic.com/abacus/logcheck/logch-1.1.1.tgz
192.168.0.10#> tar xvzf logch-1.1.1.tgz
192.168.0.10#> cd logcheck-1.1.1/systems/linux
192.168.0.10#> vi logcheck.sh
# Person to send log activity to.
SYSADMIN=root ( 42행에 로그 파일 내용을 수신할 관리자의 이메일을 입력.)
192.168.0.10#> cd ../../
192.168.0.10#> make linux
192.168.0.10#> cd /usr/local/etc ( logcheck관련 파일들이 존재함. )

* logcheck.sh 파일을 CRON을 이용해 주기적으로 작동시키기.
---------------------------------------------------------
# 매시간 30분 마다 서버의 이상여부를 체크
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
30 * * * * /usr/local/etc/logcheck.sh

logtail 프로그램이 검사한 로그는 다시 검사하지 않기 때문에 변동사항이
없을 경우에는 메일을 발송하지 않음.

이상.