Um servidor Syslog pode reconhecer um sistema operacional cliente?

Question

Um servidor Syslog pode reconhecer um sistema operacional cliente?

#1 resposta do (2 votos)

1

Eu configurei recentemente um servidor syslog central. Os logs são organizados em arquivos, na pasta com o nome das máquinas clientes (usando DNS) e digitalizados com logcheck.

Algumas das máquinas clientes têm mais de um sistema operacional (ou seja, Linux e Windows) e acabam tendo o mesmo endereço IP e nome de host. O resultado é que os logs do Windows (mensagens) e os logs do Linux acabaram no mesmo arquivo, fazendo com que eu e o logcheck ficassem bastante insatisfeitos. Estou interessado em manter os logs para diferentes sistemas operacionais separados.

Minha solução foi ter o syslog escutando em várias portas e configurar o syslog / rsyslog nas máquinas clientes Linux e Windows para usar um número de porta diferente. Dessa forma, posso redirecionar facilmente os registros em arquivos apropriados de acordo com a origem deles.

No entanto, não estou totalmente convencido sobre a elegância da solução - o nmap pode detectar o sistema operacional do cliente através da impressão digital da pilha TCP / IP.

Existe uma maneira de configurar o Syslog-ng para redirecionar os dados recebidos de acordo com o sistema operacional de uma máquina cliente?

syslog nmap

por Matteo Giani 16.02.2018 / 17:21

1 resposta

Tags syslog nmap

Nginx não servirá arquivos PHP de um servidor remoto Sincroniza estados de interfaces de ponte

score 2 · Answer 1

Sua abordagem com portas diferentes para máquinas Linux e Windows não é ruim.

Alternativas:

usando o programa como destino no syslog-ng (por exemplo, seu script personalizado que verifica o sistema operacional atual da máquina cliente e grava em linux.log ou windows.log) - lento e não confiável.
usando match (...) no filtro syslog-ng para distinguir entre strings do syslog linux e windows (não tenho certeza se pode ser fácil e confiável a menos que você possa colocar alguma substring no syslog do cliente) e usar esse filtro para selecionar destino arquivo de log.

Ambos dificilmente podem ser recomendados.

No entanto, outro truque pode ser usar o transporte tcp para o syslog dos clientes linux e udp - das janelas. Do que você pode configurar destinos de arquivos com filtro no protocolo.