Siamcafe Community
หมวดหมู่หก => Clark Connect => ข้อความที่เริ่มโดย: AkiraX ที่ กันยายน 23, 2008, 06:46:00 am
-
เก็บ website log ของ squid ไปที่ syslog-ng
ในตอนนี้ เราก็ได้เก็บ Log ของ service ต่างๆ แล้ว
ต่อไปเราก็จะเก็บ log ของ squid หรือ log ที่ user แต่ละคนออก website อะไรบ้างนั่นเองครับ
โดยที่ ClarkConnect 4.2 นี้ใช้ squid version 2.5 ซึ่งมันไม่มี function ในการส่ง syslog (แต่ถ้า squid version 2.6 จะมี function ในการส่ง syslog ครับ)
เราเลยต้องใช้ ข้อมูลที่มี อยู่ใน access.log ของ squid ที่มีอยู่แล้วส่งเข้า syslog เองด้วยคำสั่ง tail -F
เพิ่มคำสั่งด้านล่างนี้ใน /etc/rc.d/rc.local เพื่อให้มัน start คำสั่ง ทุกครั้งที่ boot เครื่องใหม่
tail -F /var/log/squid/access.log | logger -t squid -p local3.info &
หรือจะ run ให้มันทำงาน ทันทีด้วย
#tail -F /var/log/squid/access.log | logger -t squid -p local3.info &
หมายเหตุ
อย่าใส่คำสั่งนี้ ใน /etc/rc.d/rc.firewall.local หรือ /etc/rc.d/rc.iptablescapture
เพราะถ้าคุณมีการ restart service firewall บ่อยๆ มันจะ run ซ้ำกันทุกครั้ง ทำให้เกิด ข้อมูลซ้ำกันใน file log ที่เราเก็บครับ
ดูว่า คำสั่งนี้ run ซ้ำกันหรือเปล่า
#ps ax | grep tail
7773 pts/0 S 0:00 tail -F /var/log/squid/access.log
7782 pts/0 S 0:00 tail -F /var/log/squid/access.log
ถ้าขึ้นข้อความอย่างด้านบนนี้ แสดงว่า มีการ run คำสั่งซ้ำกันอยู่ใน kill process ที่ไม่ใช้ทิ้งไปด้วยคำสั่ง
#kill -9 7782
จากนั้นตรวจสอบให้แน่ใจว่า มีข้อมูลใน /var/log/squid/access.log วิ่งไปที่ /var/log/messages แล้ว
#tail -f /var/log/messages
จะเห็นว่ามีข้อมูลของการ ใช้ website ของ user ปรากฎบนหน้าจอ แล้ววิ่่งไปเรื่อยๆ
เพราะโดยหลักการแล้วไฟล์ /var/log/messages จะเก็บ log ทุกอย่างที่เกิดขึ้นใน ระบบเรา
แล้วเราก็เอา log ที่เกิดขึ้นในระบบเรา ไปแยกใส่ file แต่ละ file อีกทีครับ
ตรวจสอบให้มั่นใจว่า ในไฟล์ /etc/syslog-ng.conf มีความด้านล่างนี้อยู่แล้ว
############################################################################
# Log from squid (proxy) server kept access.log from LAN.
############################################################################
#filter f_squid { program("squid") and facility(user); };
filter f_squid { match("squid"); };
destination d_squid {
file("/var/log/syslog-ng/ClarkConnect/$YEAR/$MONTH/squid.$YEAR-$MONTH-$DAY"
owner(root) group(adm) perm(665)
create_dirs(yes) dir_perm(0775));
};
log { source(s_sys); filter(f_squid); destination(d_squid); };
จากนั้น สั่ง restart service syslog-ng อีกครั้ง
#service syslog-ng restart
ทดลองเข้าไปดูที่ directory /var/log/syslog-ng/ClarkConnect/
จะเห็นว่ามี directory ปี ค.ศ. เกิดขึ้น ลองเข้าไป จะเจอ directory เดือน และตามด้วย log files ที่ขึ้นต้นด้วยคำว่า
squid.year-month-year โดยวันเดือนปี จะเป็นปัจจุบันที่ เรา run อยู่ครับ
เปิดดู file นี้ ด้วยคำสั่ง tail เช่น
#tail -f /var/log/syslog-ng/ClarkConnect/2008/09/squid.2008-09-23
โปรดติดตาม ตอนต่อไปครับ........
-
:clap: :clap: ขอบคุณหลายๆเด้อ
-
จขกท.น่าจะบอกด้วยครับว่า...ใครลองนำไปใช้ได้ความยังไงให้มา discuss ที่เว็บบอรืดด้วยยิ่งดีไม่ใช่น้อยๆๆๆๆ
-
พอดีว่าเพิ่งจะลงเสร็จแล้วก็เขียนคู่มือการ install อยู่ด้วย อ่ะครับ
เห็นว่ามีหน่วยงานราชการที่มีงบน้อยเค้าให้ syslog-ng เป็นตัว logserver กันก็เลยลองมาลงใน clarkconnect ดู
เอกสารก็มีอยู่ที่ http://61.7.253.244/syslog-ng/ น่ะครับ เป็นของท่าน อาจารย์ บุญลือ อยู่คง
เลยอยากให้ลองใช้กันดู ดีกว่าไปเสียเงินเป็นแสนๆ ซื้อพวก นี้น่ะครับ
โดยส่วนตัว คิดว่าน่าจะเก็บข้อมูลได้ตามที่ พรบ กำหนดนะครับ run มาสองอาทิตย์แล้วก็
เก็บข้อมูลได้ดีในรูปแบบ text file แต่ว่ายังไม่จบนะครับ รอตอนต่อไปนิดหนึ่ง กำลังเขียนอยู่ครับ
ส่วนที่เหลือจะเป็นเรื่อง การใช้ Clrakconnect ในการเก็บ log mail เข้า-ออก ด้วยโปรแกรม p3scan โดย modify มาจาก smootwall ครับ
แล้วก็การเก็บข้อความของพวก chat เช่น MSN YAHOO ด้วยโปรแกรม imspector
จากนั้นจะมี script การทำ Data Hashing
แล้วก็การ search logfile ด้วยโปรแกรม Splunk
อ๋อ เรื่องการ ส่ง event log จาก windows2003 AD เข้าไปที่ logserver ด้วยโปรแกรม snare อีกครับ
ต้องค่อยเขียนครับ รายละเอียดมันเยอะครับ
-
:kiki: :mad: ครับ
-
อยากทราบว่าถ้าเราทำ CC เป็น Authen เองเราจะทำไงครับให้มันเก็บ radius.log ด้วยครับ สู้ๆครับผม :aha:
-
เยียมครับ Linux ไทยอนาคตสดใสแน่ครับ :vvv:
-
:aha: :clap: :umm:
-
kissy
-
:031: :041-1:
-
ddddd