МІНІСТЕРСТВО ОСВІТИ І НАУКИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА ІКТА Кафедра ЗІ / З В І Т до лабораторної роботи №9 Система журналювання Syslog з курсу: «Безпека інформації в інформаційно-комунікаційних системах»  Львів - 2018 Мета роботи: навчитися працювати з системою журналювання syslog. Навчитися його настроювати і використовувати в найрізноманітніших варіаціях. Закріпити вивчені теоритичні відомості на практиці. Система журналювання Syslog Syslog - це функція, використовувана багатьма програмами для запису повідомлень в системний реєстратор повідомлень (syslogd). Демон syslogd читає і виводить повідомлення на системну консоль, у реєстраційні файли (log-файли), на інші машини та користувачам у відповідності зі своїм конфігураційним файлом (/etc/syslog.conf). При великій кількості серверів незручно обходити всі сервера щоб переглянути їх системний журнал і тому бажано системні журнали з усіх серверів зібрати в одному місці. У цьому випадку можна скористатися можливістю більшості реалізацій syslog-демонів обмінюватися інформацією з іншими syslog-серверами використовуючи стандартний протокол. Система журналювання (syslog) є однією з найкорисніших програм в UNIX. На відміну від деяких операційних систем, які змушують вас використовувати лише обмежений діапазон журналів, які вони дозволять вам надати, UNIX дозволяє реєструвати майже все що завгодно з практично будь-яким рівнем деталізації. Так як стандартні системні засоби передбачені для журналювання більшості засобів системи UNIX, адміністратор може вибрати конфігурацію журналювання, що задовольняє його вимогам. Зазвичай мережа має один журналюючий вузол, який підтримує журналювання не тільки для FreeBSD-вузлів, але і для маршрутизаторів Cisco, комутаторів і будь-яких інших систем якіпідтримують syslog. Виконання роботи # touch /var/log/iptables.log # nano /etc/rsyslog.d/50-default.conf kern.info /var/log/iptables.log auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none;\ kern.!=info -/var/log/syslog #cron.* /var/log/cron.log daemon.* -/var/log/daemon.log kern.*;kern.!=info -/var/log/kern.log ... *.=info;*.=notice;*.=warn;\ auth,authpriv.none;\ cron,daemon.none;\ mail,news.none;kern.!=info -/var/log/messages ... # service rsyslog restart Добавимо спеціальні префікси $IPT -A FORWARD -m limit --limit 3/m --limit-burst 5 -j LOG --log-level INFO --log-prefix "IPT: " $IPT -A INPUT -m limit --limit 3/m --limit-burst 5 -j LOG --log-level INFO --log-prefix "IPT: IN_ETH0: " /var/log/iptables.log { rotate 10 daily missingok notifempty compress delaycompress sharedscripts postrotate reload rsyslog >/dev/null 2>&1 || true # for Debian invoke-rc.d rsyslog reload > /dev/null # for RHEL service rsyslog reload > /dev/null # for CentOS endscript } Приклад логу системи May 31 20:42:06 clu2 clusvcmgrd[992]: <info> Service Manager starting May 31 20:42:06 clu2 clusvcmgrd[992]: <info> mount.ksh info: /dev/sda3 \ is not mounted May 31 20:49:38 clu2 clulog[1294]: <notice> stop_service.ksh notice: \ Stopping service dbase_home May 31 20:49:39 clu2 clusvcmgrd[1287]: <notice> Service Manager received \ a NODE_UP event for stor5 Jun 01 12:56:51 clu2 cluquorumd[1640]: <err> updateMyTimestamp: unable to \ update status block. Jun 01 12:34:24 clu2 cluquorumd[1268]: <warning> Initiating cluster stop Jun 01 12:34:24 clu2 cluquorumd[1268]: <warning> Completed cluster stop Jul 27 15:28:40 clu2 cluquorumd[390]: <err> shoot_partner: successfully shot partner. [1] [2] [3] [4] [5] Щоб запобігти запис подій кластера в файл / var / log / messages, додайте вказівку local4.none в наступний рядок файлу /etc/syslog.conf: # Log anything (except mail) of l...