Como coletar logs com syslog-ng de servidores www em dmz e enviá-los para o servidor por trás do firewall (NAT). O proxy do Zabbix pode resolver isso?

3

Eu tenho vários servidores www na DMZ. Meu servidor de monitoramento e coleta de logs está na minha LAN. Não há comunicação como WWW server in DMZ ----> monitor server in LAN .

Eu posso conectar a DMZ da minha LAN

LAN --via proxy--> WWW server in DMZ .

Vou usar o syslog-ng. O problema é que o syslog-ng funciona na arquitetura cliente-servidor e os clientes se conectam ao servidor para enviar logs.

Existe uma maneira de configurar o syslog-ng em algum tipo de modo passivo em que o servidor (na minha LAN) se conectará aos clientes (DMZ) e coletará logs?

EDITAR: Eu estava lendo sobre o proxy Zabbix (zabbix pode monitorar logs) ... E teoreticamente dependendo dos documentos do zabbix, será possível fazer meu cenário funcionar. Alguém pode confirmar isso?

    
por B14D3 06.12.2011 / 09:54

3 respostas

2

O que é o tunelamento, ou seja, o Stunnel ? Para cada servidor DMZ a ser monitorado:

  1. Deixe o servidor de logs iniciar um túnel para o servidor DMZ
  2. Configure o syslog do servidor DMZ para que ele se conecte ao túnel e use-o como destino adicional

Nota: isto pode funcionar através do firewall / NAT (conforme o seu título), mas não através de proxy (conforme o conteúdo da sua pergunta).

    
por 15.12.2011 / 19:50
1

Eu não sei sobre o syslog-ng, mas sei que o Splunk pode ser configurado para coletar e indexar arquivos de log periodicamente dos sistemas clientes. Caso contrário, o melhor que eu acho que você seria capaz de fazer é configurar um cron job em seu servidor de log para rsync os arquivos para algo como /var/log/clientN/*.log e manualmente chamar logrotate no cliente.

    
por 10.12.2011 / 22:06
1

Isso pode não ajudar, mas vou compartilhar como podemos contornar isso. Essencialmente, usamos vários DMZs.

  • O DMZ1 contém hosts voltados para a Internet e não pode se comunicar com a LAN interna.
  • A DMZ2 é uma área segregada (no mesmo firewall, VLAN diferente) que pode se comunicar com hosts em DMZ1 (nos dois sentidos), mas não na Internet. Alguns hosts no DMZ2 também podem conversar com determinados hosts na LAN interna.
Portanto, os hosts no DMZ1 que precisam fazer syslog centralmente / arquivos scp / enviar relatórios de email fazem isso por meio de um host de gerenciamento no DMZ2. As informações no host de gerenciamento podem ser capturadas por um host no interior.

    
por 12.12.2011 / 22:58