News Technology

Un server syslog può aiutare un amministratore di sistemi a gestire log.

Il termine log nasce per indicare un giornale di bordo nel mondo della nautica, come riportato sull’enciclopedia Wikipedia.

In informatica, si indicano logs, quei files che riportano la cronologia di un sistema informatico, come: situazione dell’hardware, errori di applicazioni, sicurezza.

Per costruire un semplice syslog server utilizziamo il sistema operativo zeroshell basato su linux.

La distribuzione Zeroshell permette di gestire sistemi embedded.

Oltre questa distribuzione basata su linux kernel, se si vogliono centralizzare i logs di sistemi operativi Windows è a disposizione l’open source di ntsyslog.

Le fasi operative sono molto semplici. Possiamo operare su di una macchina virtuale creata con VirtualBox o su di una macchina fisica con hard disk formattato.

Si può procedere nel seguente modo:

1. Scaricare l’immagine iso di Zeroshell.
2. Se si lavora su una macchina virtuale lanciare l’iso da boot, altrimenti creare il CD di boot di Zeroshell.
3. Avviare Zeroshell normalmente. Per default il sistema avrà indirizzo ip 192.168.0.75. Se dovete modificare l’indirizzo ip procedete nel seguente modo:
   • Digitate N per visualizzare le interfacce di rete del PC. Generalmente quella già configurata è ETH00.
   • Digitate S per passare al prompt dei comandi.
   • Configurate l’ip giusto col comando: ifconfig ETH00 [indirizzoIP].
   • Scrivete exit per ritornare al menu.
4. Ora il PC è in rete ed è consultabile via Web. Da un altro PC in rete aprire il browser e digitate https://[indirizzoIP], dove [indirizzoIP] è l’indirizzo ip del server log scelto.
5. Accedere al sistema web con utente admin e password zeroshell che è l’amministratore di default del sistema.
6. Andare sul menù storage, selezionare l’hard disk e crearvi la partizione che si vuole utilizzare (se non sia stata già creata). Il sistema formatterà l’harddisk e lo utilizzerà come contenitore dei dati.
7. Selezionare la partizione sulla quale si voglia creare il DB che conterranno i dati dei logs.
8. Selezionare il DB appena creato ed attivarlo col tasto activate. Il sistema si riavvierà.
9. Accedere di nuovo con utente admin e la password scelta quando si è creato il DB.
10. Andare sul menù logs e selezionare accept remote logs e salvare la configurazione. Il nostro server log è pronto per accettare logs da rete!.

Rimangono da configurare quelle postazioni di cui vogliamo centralizzare i log (ad esempio dei servers).

1. Scomprimere il ntsyslog.zip e copiare ntsyslog.exe nella cartella C:\WINDOWS\system32.
2. Creare il file registro.reg con i seguenti dati:

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\SaberNet]
“Syslog”=”190.168.0.75”

[HKEY_LOCAL_MACHINE\SOFTWARE\SaberNet\Syslog]
“LastRun”=dword:472ee24c

[HKEY_LOCAL_MACHINE\SOFTWARE\SaberNet\Syslog\Application]
“Information”=dword:00000001
“Warning”=dword:00000001
“Error”=dword:00000001
“Audit Success”=dword:00000001
“Audit Failure”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\SaberNet\Syslog\Security]
“Information”=dword:00000001
“Warning”=dword:00000001
“Error”=dword:00000001
“Audit Success”=dword:00000001
“Audit Failure”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\SaberNet\Syslog\System]
“Information”=dword:00000001
“Warning”=dword:00000001
“Error”=dword:00000001
“Audit Success”=dword:00000001
“Audit Failure”=dword:00000001

dove syslog rappresenta l’indirizzo ip del server log che abbiamo precedentemente creato.

1. Lanciare il comando ntsyslog.exe -install, che installerà il servizio che distribuirà i log al nostro server log.
2. Poi eseguire il file registro.reg che scrive nel registro di sistema l’indirizzo ip del server log che abbiamo creato precedentemente per inviargli i logs.
3. Riavviare la macchina.
4. Se la macchina genererà qualche log è possibile venderli nell’interfaccia web del nostro server log creato con zeroshell attraverso il menu logs.