Настройка syslog-ng для сбора логов интернет-центра ZyXEL Keenetic Giga 2
Я продолжаю уже можно сказать серию заметок по обзору настройки syslog-ng для сбора логов с домашних сетевых устройств обеспечивающих меня доступом ко всемирной паутине.
Сперва это был Prestige Zyxel 660HW-T1, потом Zyxel Keenetic Lite, а теперь и многофункциональный интернет-центр ZyXEL Keenetic Giga 2. Посмотрим, как дела обстоят у него. Все также просмотр логов точки доступа через Web-интерфейс не отличается удобством, исходя из этого либо на сервере или рабочей станции поднимем syslog-ng. Я рассмотрю установку на примере рабочей станции. Все дальнейшие действия буду проводить на системе используемой в повседневности, а именно Ubuntu 12.04 Desktop amd64. И так есть:
$ uname -a && lsb_release -a
Linux srv-monitor 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
Description: Ubuntu 12.04 LTS
- Локальная сеть 192.168.1.0/24
- Моя рабочая станция под управлением Ubuntu 12.04 Desktop amd64, имеющий адрес 192.168.1.33
- Интернет центр ZyXEL Keenetic Giga 2 которому присвоен IP-адрес 192.168.1.9
Произведем установку syslog-ng из репозитариев Ubuntu 12.04 Desktop :
$ sudo apt-get install syslog-ng
Создадим резервную копию конфигурационного файла который будем править :
$ sudo cp /etc/syslog-ng/syslog-ng.conf /etc/syslog-ng/syslog-ng.conf.backup
$ sudo touch /var/log/zyxel_internet_giga2.log
После этого займемся редактированием и добавляем туда следующие строки:
$ sudo nano /etc/syslog-ng/syslog-ng.conf
очищаем конфигурационный файл и приводим к виду указанному ниже
# настраиваем новый источник — сеть.
# теперь syslog-ng будет слушать 514-й udp-порт.
# определяем новое хранилище логов с именем df_zyxel.
# всё что будет направляться в это хранилище будет
# складываться в файл /var/log/zyxel_internet_giga2.log.
# определяем новый фильтр. фильтровать будем по адресу клиента.
# здесь нужно указать ip-адрес интернет-центра
# настраиваем логирование информации с источника s_udp,
# попадающей под правила фильтра f_zyxel, в хранилище df_zyxel
После этого нужно перезапустить syslog-ng :
$ sudo invoke-rc.d syslog-ng restart
Проверяем, работает ли сервис в системе :
$ sudo netstat -anp | grep syslog-ng
udp 0 0 0.0.0.0:514 0.0.0.0:* 3273/syslog-ng
, сервис работает и слушает порт 514 в системе на прием сообщений.
Далее заходим в веб-интерфейс интернет-центра ZyXEL Keenetic Giga 2 и идём в меню «Система» -> «Журнал«.
указываем, что теперь журнал направлять на удалённый syslog сервер и прописываем IP-адрес этого сервера (моя рабочая станция) на котором настроена служба syslog.
По окончании нажимаем кнопку: «Применить». И появляется сообщение, что настройки успешно применились.
Перезагружать интернет-центр уже не нужно.
Теперь вся информация, которую раньше вы смотрели через веб-интерфейс посредством меню «Система» -> «Журнал«- можно наблюдать и на рабочей станции в файле /var/log/zyxel_internet_giga2.log.
Смотрим в реальном времени, что пишется в лог:
$ sudo tail -f /var/log/zyxel_internet_giga2.log
Aug 15 22:54:48 192.168.1.9 ndm: Network::StaticNat: static NAT rule has been added.
Aug 15 22:54:51 192.168.1.9 ndm: Core::ConfigurationSaver: configuration saved.
Aug 15 22:55:03 192.168.1.9 ndm: Network::StaticNat: static NAT rule has been removed.
Aug 15 22:55:06 192.168.1.9 ndm: Core::ConfigurationSaver: configuration saved.
Aug 15 22:55:52 192.168.1.9 ndm: Core::ConfigurationSaver: configuration saved.
Aug 15 23:04:52 192.168.1.9 wmond: WifiMaster0/AccessPoint0: (RT2860) STA(90:c1:15:1f:04:81) had associated successfully.
Aug 15 23:04:52 192.168.1.9 wmond: WifiMaster0/AccessPoint0: (RT2860) STA(90:c1:15:1f:04:81) set key done in WPA2/WPA2PSK.
Aug 15 23:04:53 192.168.1.9 ndhcps: _WEBADMIN: get request with vendor identifier dhcpcd 4.0.15.
Aug 15 23:04:53 192.168.1.9 ndhcps: _WEBADMIN: DHCPDISCOVER received from 90:c1:15:1f:04:81.
Aug 15 23:04:53 192.168.1.9 ndhcps: _WEBADMIN: sending OFFER of 192.168.1.39 to 90:c1:15:1f:04:81.
Aug 15 23:04:53 192.168.1.9 ndhcps: _WEBADMIN: get request with vendor identifier dhcpcd 4.0.15.
Aug 15 23:04:53 192.168.1.9 ndhcps: _WEBADMIN: DHCPREQUEST received for 192.168.1.39 from 90:c1:15:1f:04:81.
Aug 15 23:04:53 192.168.1.9 ndhcps: _WEBADMIN: sending ACK of 192.168.1.39 to 90:c1:15:1f:04:81.
Aug 15 23:05:00 192.168.1.9 wmond: WifiMaster0/AccessPoint0: (RT2860) STA(90:c1:15:1f:04:81) had deauthenticated.
Исходя из этого можно по такому же принципу организовать пересылку всех логов с интернет-центра ZyXEL на сервер на котором осуществляется централизованное хранение логов работы, как сетевого оборудования так и различных операционных систем.
На текущий момент размер лога:
$ dir -hl /var/log/zyxel_internet_giga2.log
-rw——- 1 root root 562 Aug 15 22:55 /var/log/zyxel_internet_giga2.log
Этот лог занимает не так уж и много места, но всё-таки полезно произвести ротацию. Для того достаточно создать файл ekzorchik@srv-monitor:
$ sudo touch /etc/logrotate.d/zyxel_keenetic_giga2 следующего содержания:
$ sudo nano /etc/logrotate.d/zyxel_keenetic_giga2 — приведем к виду ниже:
Теперь раз в неделю лог будет ротироваться и будут сохраняться последние пять ротированых логов.
Как видите интернет центры домашнего пользования отличаются выдаваемой информацией о своей работе. Могу от себя сказать, что работа данного оборудования меня очень порадовала. Простота и расширенный лог работы лучше позволяет понять, а как это все работает. Следите за публикацией реальных заметок на моем блоге. И конечно же обращайтесь по почте если что не совсем понятно в заметке. На этом всё, с уважением ekzorchik.
Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:
Поблагодари автора и новые статьи
будут появляться чаще 🙂
Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047
Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.
SysLog Keenetic Extra для просмотра истории посещений
Низкая скорость соединения ноутбука с роутером Keenetic Extra
Приветствую. Помогите решить следующую задачку: Роутер Keenetiс Extra, несколько компьютеров.
Какой роутер лучше выбрать Tenda AC9 или Keenetic Extra?
Здравствуйте! Выбираю роутер для дома, соединение Ethernet, скорость 80 мбит/с, тип подключения.
Сохранение истории посещений и закладки в браузере
Доброго времени суток. Прошу помощи у Вас. В С++ только начинаю что то разбирать. Делаю курсовик по.
Отключение записи истории просмотра в WebBrowser
Добрый День! Можно ли как-то отключить историю просмотра компонента WebBrowser от истории.
Здравствуйте. Если Вы хотите блокировать, можете попробовать это: https://dns.yandex.ru/advanced
В свойствах сетевого адаптера просто прописать DNS сервера. Или в роутере, если ребенок что-то понимает в комьютере, да бы не смог убрать настройки.
Если что, спрашивайте.
P.S — Когда меня запалили за этим делом в детстве, сделали вывод, что я развиваюсь )
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.
Сохранение истории просмотра сайтов во встроенном родительском контроле Windows 7
Здравствуйте! Скажите, пожалуйста, во встроенном родительском контроле этой операционки есть.
Как разместить для просмотра (только для просмотра!) скан книги на сайте?
Стоит задача по размещению для просмотра скана книги на сайте. Это можно сделать с помощью.
Самый дорогой компьютер в истории киберфорума, России и мировой истории. Рекомендовано Forbes
Не пытайтесь повторить. Выполненно профессионалами -.
Нужен WEB интерфейс для syslog-ng на Debian
Подскажите, пожалуйста, мне нужен web интерфейс для syslog-ng. В данный момент на сервере Debian.
Сохранение журнала системных событий (логов) на Syslog-сервере
Как организовать сбор логов с интернет-центра на Syslog-сервер, установленный на один из компьютеров локальной сети?
Интернет-центры серии Keenetic могут отправлять системные журналы (логи), содержащие предупреждения, системные сообщения и т.п., на специальный сервер Syslog, предназначенный для сбора и хранения системных сообщений.
В данной статье приведем примеры отправки логов с интернет-центра Keenetic на Kiwi Syslog Server Free Edition и Tftpd32, находящиеся в локальной домашней сети. Но можно использовать и другие Syslog-серверы (например, Visual Syslog Сервер для Windows, PRTG, Syslog-ng для Unix-систем и др.).
Пример 1. Настройка Syslog-сервера Kiwi Syslog Server
1.1. Скачайте программу Kiwi Syslog Server Free Edition на компьютер.
1.2. Запустите установщик программы. Выберите пункт Install Kiwi Syslog Server as an Application (Установить программу в качестве обычного приложения).
1.3. Далее выберите компоненты, которые вы хотите установить, и папку, в которой будет установлена программа.
Затем нажмите кнопку Install для инсталляции программы на компьютере и дождитесь окончания процесса установки.
1.4. Далее установите галочку в Run Kiwi Syslog Server для запуска программы и нажмите кнопку Finish.
1.5. Откроется окно программы Kiwi Syslog Server. Зайдите в меню File > Setup для продолжения настройки программы.
1.6. В меню Rules > Default > Actions нажмите на Log to file. Здесь вы можете указать путь к папке, где будут храниться лог-файлы и имя файла. Для удобства записи логов по дате укажите формат файла %DateISO.txt.
1.7. Далее перейдите к меню Inputs и добавьте здесь IP-адрес интернет-центра в домашней сети (в нашем примере интернет-центр имеет IP-адрес 192.168.1.1). Нажмите кнопку OK для сохранения настроек.
Затем выйдите из программы, нажав на меню File > Exit.
1.8. Теперь переходите к настройке интернет-центра. Подключитесь к веб-конфигуратору, перейдите на страницу «Диагностика». В разделе «Системный журнал» включите опцию «Использовать Syslog» и затем в поле «Адрес сервера» укажите IP-адрес компьютера, на котором установлена и запущена программа Kiwi Syslog Server (в нашем примере компьютер с Syslog-сервером имеет IP-адрес 192.168.1.33) и нажмите кнопку «Сохранить».
1.9. Вновь запустите программу Kiwi Syslog Server. Если на вашем компьютере включен Брандмауэр Windows (Firewall) или другая программа-файервол, вы можете увидеть сообщение о том, что брандмауэр заблокировал приложение:
Нажмите на кнопку Разрешить доступ (Allow) для корректной работы программы.
1.10. Далее появится окно программы, в котором станут отображаться системные логи с интернет-центра Keenetic.
1.11. Теперь на компьютере перейдите в папку, в которой должны сохраняться лог-файлы (путь к папке вы указали в пункте 1.6. данной инструкции). Вы увидите лог-файл формата [дата].txt, который можно просмотреть в любом текстовом редакторе (например, в Блокноте).
Пример 2. Настройка Syslog-сервера Tftpd32
2.1. Скачайте программу Tftpd32 на компьютер.
Несмотря на название, программа Tftpd32 включает в себя простой в настройке Syslog-сервер.
2.2. Установите программу и запустите ее. Если на вашем компьютере включен Брандмауэр Windows (Firewall) или другая программа-файервол, вы можете увидеть сообщение о том, что брандмауэр заблокировал приложение:
Нажмите на кнопку Разрешить доступ (Allow) для корректной работы программы.
2.3. Вы увидите окно программы Tftpd32. В поле Server interfaces укажите IP-адрес компьютера, на котором будет работать данная программа (Syslog-сервер).
2.4. Затем нажмите кнопку Settings. Убедитесь, что на закладке GLOBAL в разделе Start Services установлена галочка в поле Syslog Server. Далее перейдите на закладку SYSLOG и установите галочку в поле Save syslog message To file и укажите имя лог-файла (например, syslog.txt).
2.5. Теперь переходите к настройке интернет-центра. Подключитесь к веб-конфигуратору, перейдите на страницу «Диагностика». В разделе «Системный журнал» включите опцию «Использовать Syslog» и затем в поле «Адрес сервера» укажите IP-адрес компьютера, на котором установлена и запущена программа Kiwi Syslog Server (в нашем примере компьютер с Syslog-сервером имеет IP-адрес 192.168.1.33) и нажмите кнопку «Сохранить».
2.6. В окне программы Tftpd32 на вкладке Syslog server вы должны увидеть системные сообщения (логи), поступающие с интернет-центра Keenetic.
В папке с программой Tftpd32 также будет сохраняться системный журнал вашего интернет-центра в указанный файл (в нашем примере в файл syslog.txt). Данный файл можно просмотреть в любом текстовом редакторе (например, в Блокноте).
Примечание
1. Категории журналирования (local0 — local7) на внешнем Syslog-сервере менять нельзя.
2. При необходимости можно выполнить смену номера порта для работы с Syslog-сервером следующей командой:
После выполнения этой команды добавляется ещё один сервер (идентичный предыдущему), но с другим номером порта. Для смены порта нужно удалить старую запись целиком и задать новую.
Веб-интерфейс при смене настроек удаляет все имеющиеся записи и добавляет новую.
Пользователи, считающие этот материал полезным: 20 из 21