الأربعاء، 21 مايو 2014

تخزين ملفات logs للجدار الناري Cisco ASA في نظام اللينكس (الجزء التاني)

الوسوم : , ,
في المقالة السابقة، تطرقنا حول كيفية إعداد الجدار الناري Cisco ASA حتى يتمكن من إرسال بيانات ال logsإلى السيرفر. نتمم العملية بإعداد سيرفر اللينكس ، من تسطيب وإعداد برنامج syslog-ng، حتى يتمكن من إستقبال البيانات من الجدار الناري.

المقالة السابقة : تخزين ملفات logs للجدار الناري Cisco ASA في نظام اللينكس (الجزء الأول)
تسطيب برنامج syslog-ng في جهاز اللينكس.
 للتسطيب البرنامج على نظام الليكنس، نقوم بكتابة الأمر التالي (يجب أن تتوفر على صلاحيات مستخدم root):
ubuntu@ubuntu~$ sudo apt-get syslog-ng

إعداد برنامج Syslog-ng:
بعد تسطيب البرنامج، نقوم بإعداده، وذلك بإظافة بعض المعلومات في الملف التالي:
ubuntu@ubuntu~$ sudo vi /etc/syslog-ng/syslog-ng.conf

نقوم بشرح كل كل سطر على حدى.
Destination: مكان تخزين ملفات الLogs.
 في هذا الجزء، نقوم بتحديد إسم الملف الذي يجب تخزين فيه بيانات ال Logs.
destination d_asa { file("/var/log/asa/asa.log"); };
destination df_asa_bydate { file("/var/log/asa/asa.$R_YEAR$R_MONTH$R_DAY"); };

Filter:تحديد بعض المعلومات حول الجهاز المرسِل لبيانات ال Logs.في هذا الجزء، يتم تحديد بعض المعلومات حول الجهاز الذي يرسل بيانات الLogs، حيث يمثل إسم Facilty رقم النافدة المرافقة للنوع المعلومات ( أنظر في المقالة السابقة ، حول تحديد نوع المعلومات المتدفقة) في مقالتنا السابقة، إخترنا رقم 18 ، إذن حسب الجدول، سيتم إستقبال المعلومات من نافدة 2.
filter f_asa {facility(local2) and  
level(debug..emerg) 
and  host(10.1.1.1); };

ملاحظة: عند ذكر كلمة نافدة، لا أقصد به شيئا ماديا، وإنما قناة خيالية  في الجهاز لعبور المعلومات.
تعني كلمة host الجهاز الذي سيقوم بإرسال بيانات الlogs.

log: إستقبال بيانات الLogs من المعلومات المخزنة في المتغير s_net.
log { source(s_net); destination(d_win); };
log {   source(s_net); filter(f_asa); destination(df_asa_bydate);};

source:يتم تحديد عنوان الجهاز أو الشبكة، وكذلك رقم ال Port الذي يتم من خلاله إرسال البيانات. في هذا الدرس، قمنا بإختيار رقم 1050.
source s_net {udp(ip("0.0.0.0") port(1050)); };

إعادة تشغيل خدمة syslog-ng:
بعد الإنتهاء، نقوم بمعرف صحة الإعدادات بتطبيق الأمر التالي:
ubuntu@ubuntu~$ sudo syslog-ng -t
في حالة إذا كان مشكل في الإعداد، سيتم إظهار رسالة، تبزر الخطأ.إذا لم يتم إظهار أي شيء، فكل شيء على ما يرام. نقوم بإعادة تشغيل الخدمة بتطبيق الأمر التالي:
ubuntu@ubuntu~$ sudo /etc/init.d/syslog-ng restart

التجربة:
للتأكد من صحة الإعدادات، نقوم بإظهار محتوى المجلد الموجود في var/log/asa/
يمكن في أية لحظة إظهار محتوى الملفات وذلك بتطبيق الأمر tail، يمكن إظافة f- في الأمر للمشاهدة محتوى الملف في الوقت الحي.
ubuntu@ubuntu~$ sudo cat /var/log/asa.log restart


هل أعجبك الموضوع ؟

ليست هناك تعليقات:

إرسال تعليق

جميع الحقوق محفوظة ، مدونة NetworksGet