Günümüz IT dünyasında logları tutmanın önemi artık problem çözmekten daha fazlasına yaramaktadır. Artık toplanılan loglar anlamlandırılıp analiz edilerek ağınızda/sistemlerinizde oluşan tüm olaylar hakkında bilgi sahibi olabilirsiniz. Bunun ilk adımı ise logları tek bir merkezde toplamaktan geçmektedir.

Logları tek bir merkezde toplamanın alternatif yolları olduğu gibi bu yazıda Linux tabanlı Centos işletim sistemi üzerine her platformda çalışan Nxlog uygulaması kurularak merkezi log toplama sunucusu hazırlanacaktır. Örnek olarak tüm platformlardan (Linux, Windows, Android, Ağ Cihazı)

Nxlog sunucu ve istemci olarak kullanılabilen bir uygulamadır. Community ve Enterprise olarak 2 farklı sürüme sahiptir. Şu adresten sürüm notlarına ulaşabilirsiniz. (https://nxlog.co/products)

Bu yazıda Centos 7 üzerine Nxlog Server kurulumu yapılarak, Linux, Windows, Android ve Switch logları toplanacaktır.

Nxlog çalışma yapısı olarak inpu, output ve route modüllerini kullanır.
[Input] — > [Output] — > [Route]

Centos 7 Nxlog Server Kurulumu

Nxlog server kurulumunu gerçekleştiriniz.

[[email protected] ~]# yum install https://nxlog.co/system/files/products/files/348/nxlog-ce-2.10.2150-1_rhel7.x86_64.rpm

Nxlog ‘u server olarak konfigüre ediniz. Aşağıdaki konfigürasyonda udp 514 portundan gelen loglar /var/log/nxlog/remote.log” dosyasına kaydedilecektir. (Konfigürasyondaki önemli olan kısımlar renklendirilmiştir.)

[[email protected] ~]# vim /etc/nxlog.conf

## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally under
## /usr/share/doc/nxlog-ce/ and is also available online at
## http://nxlog.org/docs

########################################
# Global directives #
########################################
User nxlog
Group nxlog

LogFile /var/log/nxlog/nxlog.log
LogLevel INFO

########################################
# Modules #
########################################
<Extension _syslog>
 Module xm_syslog
</Extension>

<Input input1>
 Module im_udp
 Port 514
 Host 0.0.0.0
</Input>

<Output output1>
 Module om_file
 Exec $Message= $raw_event;
 File "/var/log/nxlog/remote.log"
</Output>

########################################
# Routes #
########################################
<Route 1>
 Path input1 => output1
</Route>

-Nxlog servisini başlangıçta otomatik çalışır hale getirip servisi başlatınız.

[[email protected] ~]# systemctl enable nxlog.service
[[email protected] ~]# systemctl start nxlog.service

-Servisin çalıştığını kontrol ediniz.

[[email protected] ~]# tailf /var/log/nxlog/nxlog.log
 2017-01-01 14:41:45 INFO nxlog-ce-2.9.1716 started

-udp 514 portunun nxlog tarafından dinlendiğini kontrol ediniz.

[[email protected] ~]# netstat -tulnp |grep 514
 udp 0 0 0.0.0.0:514 0.0.0.0:* 4942/nxlog

-Servis hazır durumdaysa log yönlendirme işlemine başlayabilirsiniz.

 

Windows Nxlog Client Kurulumu ve Log Yönlendirme

-Nxlog Windows sürümünü indirerek kurulumunu gerçekleştiriniz. (kurulum next, next, finish olduğu için buraya eklemiyorum.)

-Kurulumun ardından Nxlog konfigüarasyon dosyasını aşağıda şekilde değiştiriniz.
(Konfigürasyon dosyası: C:\Program Files (x86)\nxlog\conf\nxlog.conf)

## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally and is also available
## online at http://nxlog.org/docs/

## Please set the ROOT to the folder your nxlog was installed into,
## otherwise it will not start.

#define ROOT C:\Program Files\nxlog
define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Extension _syslog>
 Module xm_syslog
</Extension>

<Input in>
 Module im_msvistalog
# For windows 2003 and earlier use the following:
# Module im_mseventlog
</Input>

<Output out>
 Module om_udp
 Host 192.168.1.100
 Port 514
 Exec to_syslog_snare();
</Output>

<Route 1>
 Path in => out
</Route>

-Nxlog servisini başlatınız.

-Servisin çalıştığını kontrol ediniz.
(Log dosyası: C:\Program Files (x86)\nxlog\data\nxlog.log)

2017-01-01 15:38:16 INFO nxlog-ce-2.9.1716 started

-Logların geldiğini sunucu tarafından kontrol edebilirsiniz. (DESKTOP-COS7NES log yönlendirmesi yaptığımız Windows hostname’dir.)

[[email protected] ~]# tailf /var/log/nxlog/remote.log |grep DESKTOP-COS7NES
<12>Jan 1 15:43:13 DESKTOP-COS7NES MSWinEventLog 2 Microsoft-Windows-Bits-Client/Operational 1 Sun Jan 01 15:43:13 2017 308 Microsoft-Windows-Bits-Client SYSTEM User Warning DESKTOP-COS7NES N/A BITS hizmeti başarılı bir şekilde kapatılsa da 796.14 saniye gecikti. Bu durum, bilgisayarınızı kapattığınızda gecikmelere neden olabilir. Gecikmeyle ilgili daha fazla bilgi için BITS çözümleme günlüğünü etkinleştirdikten sonra BITS hizmetini durdurup yeniden başlatın. 6376
<14>Jan  1 15:44:26 DESKTOP-COS7NES MSWinEventLog       1       Microsoft-Windows-PushNotification-Platform/Operational 12      Sun Jan 01 15:44:26 2017        3005    Microsoft-Windows-PushNotifications-Platform    musab   User    Information     DESKTOP-COS7NES N/A             2 parça oturumu İşlem başarıyla tamamlandı. hata koduyla kapatıldı.     28093

 

Linux Rsyslog ile Log Yönlendirme

Çoğu *nix sistemde default olarak gelen rsyslog ile log yönlendirmesi yapabilirsiniz.

-Rsyslog konfigürasyon dosyasının en altına aşağıdaki satırı ekleyiniz.

*.* @192.168.1.100:514

-Rsyslog servisini restart ediniz.

[[email protected] ~]# systemctl restart rsyslog.service

-Logların geldiğini sunucu tarafından kontrol edebilirsiniz.

[[email protected] ~]# tailf /var/log/nxlog/remote.log
<30>Jan 1 16:17:51 oselk systemd: Starting System Logging Service...
<30>Jan 1 16:17:51 oselk systemd: Started System Logging Service.
<85>Jan 1 16:17:51 oselk polkitd[2380]: Unregistered Authentication Agent for unix-process:5725:117140 (system bus name :1.70, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale en_US.UTF-8) (disconnected from bus)

 

Switch Log Yönlendirme

Switch marka modeline göre değişiklik gösteren bu işlem için aslında yapılması gereken çok basit. Sahip olduğunuz switch’in arayüzü veya konsolundan syslog ile udp 514 portuna logların yönlendirilmesini sağlayacaksınız.
____________________________________________________________________________________________________________________________________________

-Logların geldiğini sunucu tarafından kontrol edebilirsiniz. (192.168.1.1 log yönlendirmesi yaptığımız switch ip adresi.)

[[email protected] ~]# tailf /var/log/nxlog/remote.log |grep 192.168.1.1
<29>[192.168.1.1] [MAC 04:BF:6D:XX:XX:XX] [SN XXXXX] [MSTC VMG3312-B10B] [SYS-UPTIME 01:22:19:22] Jan 1 14:07:29 syslog: category:"DHCP_client" detail:"Send DHCP discovery to WAN"
<29>[192.168.1.1] [MAC 04:BF:6D:XX:XX:XX] [SN S150YXXXXXXX] [MSTC VMG3312-B10B] [SYS-UPTIME 01:22:19:22] Jan 1 14:07:29 syslog: category:"DHCP_client" detail:"DHCPDISCOVERY src mac=04:bf:6d:xx:xx:xx dst mac=ff:ff:ff:ff:ff:ff src ip=0.0.0.0 dst ip=255.255.255.255"

 

Android Client Kurulumu ve Log Yönlendirme

-Android cihazınıza nxlog uygulamasını yükleyiniz. (https://play.google.com/store/apps/details?id=com.nxsec.nxlog&rdid=com.nxsec.nxlog)

-Nxlog uygulamasını çalıştırarak konfigürasyonu aşağıdaki gibi yapınız ve Start diyerek logların gönderilmesini sağlayabilirsiniz.

-Logların geldiğini sunucu tarafından kontrol edebilirsiniz.

[[email protected] ~]# tailf /var/log/nxlog/remote.log
<15>Jan 1 15:22:12 localhost dalvikvm[4469]: GC_CONCURRENT freed 464K, 15% free 9336K/10884K, paused 2ms+2ms, total 47ms
<15>Jan 1 15:22:17 localhost dalvikvm[4469]: GC_CONCURRENT freed 459K, 15% free 9336K/10884K, paused 5ms+2ms, total 74ms

 

Logların Serverda Görüntülenmesi

-Loglar server tarafında ilgili dizinde anlık olarak takip edilebilir.

[[email protected] ~]# tailf /var/log/nxlog/remote.log
<15>Jan 1 15:21:17 localhost dalvikvm[4469]: GC_CONCURRENT freed 20K, 15% free 9340K/10892K, paused 3ms+1ms, total 19ms
<29>[192.168.1.1] [MAC 04:BF:6D:XX:XX:XX] [SN XXXXX] [MSTC VMG3312-B10B] [SYS-UPTIME 01:22:19:22] Jan 1 14:07:29 syslog: category:"DHCP_client" detail:"Send DHCP discovery to WAN"
<15>Jan 1 15:21:25 localhost dalvikvm[4469]: WAIT_FOR_CONCURRENT_GC blocked 37ms
<14>Jan 1 15:44:26 DESKTOP-COS7NES MSWinEventLog 1 Microsoft-Windows-PushNotification-Platform/Operational 12 Sun Jan 01 15:44:26 2017 3005 Microsoft-Windows-PushNotifications-Platform musab User Information DESKTOP-COS7NES N/A 2 parça oturumu İşlem başarıyla tamamlandı. hata koduyla kapatıldı. 28093
[[email protected] ~]# tailf /var/log/nxlog/remote.log
<22>Jan 1 15:59:31 oselk postfix/smtpd[2787]: 1692C3403D2: client=localhost[127.0.0.1]
<22>Jan 1 15:59:31 oselk postfix/cleanup[2790]: 1692C3403D2: message-id=<[email protected]>

 

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Post Navigation