เปิดรับสมัครสมาชิก webboard ตามปกติแล้วครับ

ผู้เขียน หัวข้อ: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)  (อ่าน 7531 ครั้ง)

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

AkiraX

  • บุคคลทั่วไป
เก็บ website log ของ squid ไปที่ syslog-ng

ในตอนนี้ เราก็ได้เก็บ Log ของ service ต่างๆ แล้ว
ต่อไปเราก็จะเก็บ log ของ squid หรือ log ที่ user แต่ละคนออก website อะไรบ้างนั่นเองครับ
โดยที่ ClarkConnect 4.2 นี้ใช้ squid version 2.5 ซึ่งมันไม่มี function ในการส่ง syslog (แต่ถ้า squid version 2.6 จะมี function ในการส่ง syslog ครับ)
เราเลยต้องใช้ ข้อมูลที่มี อยู่ใน access.log ของ squid ที่มีอยู่แล้วส่งเข้า syslog เองด้วยคำสั่ง tail -F

เพิ่มคำสั่งด้านล่างนี้ใน /etc/rc.d/rc.local เพื่อให้มัน start คำสั่ง ทุกครั้งที่ boot เครื่องใหม่

tail -F /var/log/squid/access.log | logger -t squid -p local3.info &

หรือจะ run ให้มันทำงาน ทันทีด้วย
#tail -F /var/log/squid/access.log | logger -t squid -p local3.info &

หมายเหตุ
อย่าใส่คำสั่งนี้ ใน /etc/rc.d/rc.firewall.local หรือ /etc/rc.d/rc.iptablescapture
เพราะถ้าคุณมีการ restart service firewall บ่อยๆ มันจะ run ซ้ำกันทุกครั้ง ทำให้เกิด ข้อมูลซ้ำกันใน file log ที่เราเก็บครับ

ดูว่า คำสั่งนี้ run ซ้ำกันหรือเปล่า
#ps ax | grep tail

7773 pts/0    S      0:00 tail -F /var/log/squid/access.log
7782 pts/0    S      0:00 tail -F /var/log/squid/access.log


ถ้าขึ้นข้อความอย่างด้านบนนี้ แสดงว่า มีการ run คำสั่งซ้ำกันอยู่ใน kill process ที่ไม่ใช้ทิ้งไปด้วยคำสั่ง
#kill -9 7782

จากนั้นตรวจสอบให้แน่ใจว่า มีข้อมูลใน /var/log/squid/access.log วิ่งไปที่ /var/log/messages แล้ว
#tail -f /var/log/messages

จะเห็นว่ามีข้อมูลของการ ใช้ website ของ user ปรากฎบนหน้าจอ แล้ววิ่่งไปเรื่อยๆ
เพราะโดยหลักการแล้วไฟล์ /var/log/messages จะเก็บ log ทุกอย่างที่เกิดขึ้นใน ระบบเรา
แล้วเราก็เอา log ที่เกิดขึ้นในระบบเรา ไปแยกใส่ file แต่ละ file อีกทีครับ

ตรวจสอบให้มั่นใจว่า ในไฟล์ /etc/syslog-ng.conf มีความด้านล่างนี้อยู่แล้ว

############################################################################
# Log from squid (proxy) server kept access.log from LAN.
############################################################################
#filter f_squid { program("squid") and facility(user); };
filter f_squid { match("squid"); };

destination d_squid {
  file("/var/log/syslog-ng/ClarkConnect/$YEAR/$MONTH/squid.$YEAR-$MONTH-$DAY"
  owner(root) group(adm) perm(665)
  create_dirs(yes) dir_perm(0775));
};

log { source(s_sys); filter(f_squid); destination(d_squid); };


จากนั้น สั่ง restart service syslog-ng อีกครั้ง
#service syslog-ng restart

ทดลองเข้าไปดูที่ directory /var/log/syslog-ng/ClarkConnect/
จะเห็นว่ามี directory ปี ค.ศ. เกิดขึ้น ลองเข้าไป จะเจอ directory เดือน และตามด้วย log files ที่ขึ้นต้นด้วยคำว่า
squid.year-month-year โดยวันเดือนปี จะเป็นปัจจุบันที่ เรา run อยู่ครับ

เปิดดู file นี้ ด้วยคำสั่ง tail เช่น
#tail -f /var/log/syslog-ng/ClarkConnect/2008/09/squid.2008-09-23

โปรดติดตาม ตอนต่อไปครับ........

ออฟไลน์ karakorn

  • ศิษย์ก้นกุฏิ ...ปี.2
  • ******
  • กระทู้: 252
  • Reputation: 1
  • เพศ: ชาย
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #1 เมื่อ: กันยายน 23, 2008, 07:00:44 am »
 :clap: :clap: ขอบคุณหลายๆเด้อ
Signature cleanned by Admin

ออฟไลน์ karakorn

  • ศิษย์ก้นกุฏิ ...ปี.2
  • ******
  • กระทู้: 252
  • Reputation: 1
  • เพศ: ชาย
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #2 เมื่อ: กันยายน 23, 2008, 07:02:24 am »
จขกท.น่าจะบอกด้วยครับว่า...ใครลองนำไปใช้ได้ความยังไงให้มา discuss ที่เว็บบอรืดด้วยยิ่งดีไม่ใช่น้อยๆๆๆๆ
Signature cleanned by Admin

AkiraX

  • บุคคลทั่วไป
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #3 เมื่อ: กันยายน 23, 2008, 07:26:59 am »
พอดีว่าเพิ่งจะลงเสร็จแล้วก็เขียนคู่มือการ install อยู่ด้วย อ่ะครับ
เห็นว่ามีหน่วยงานราชการที่มีงบน้อยเค้าให้ syslog-ng เป็นตัว logserver กันก็เลยลองมาลงใน clarkconnect ดู
เอกสารก็มีอยู่ที่ http://61.7.253.244/syslog-ng/ น่ะครับ เป็นของท่าน อาจารย์ บุญลือ อยู่คง

เลยอยากให้ลองใช้กันดู ดีกว่าไปเสียเงินเป็นแสนๆ ซื้อพวก นี้น่ะครับ
โดยส่วนตัว คิดว่าน่าจะเก็บข้อมูลได้ตามที่ พรบ กำหนดนะครับ run มาสองอาทิตย์แล้วก็
เก็บข้อมูลได้ดีในรูปแบบ text file แต่ว่ายังไม่จบนะครับ รอตอนต่อไปนิดหนึ่ง กำลังเขียนอยู่ครับ

ส่วนที่เหลือจะเป็นเรื่อง การใช้ Clrakconnect ในการเก็บ log mail เข้า-ออก ด้วยโปรแกรม p3scan โดย modify มาจาก smootwall ครับ
แล้วก็การเก็บข้อความของพวก chat เช่น MSN YAHOO ด้วยโปรแกรม imspector
จากนั้นจะมี script การทำ Data Hashing
แล้วก็การ  search logfile ด้วยโปรแกรม Splunk
อ๋อ เรื่องการ ส่ง event log จาก windows2003 AD เข้าไปที่ logserver ด้วยโปรแกรม snare อีกครับ
ต้องค่อยเขียนครับ รายละเอียดมันเยอะครับ

ออฟไลน์ karakorn

  • ศิษย์ก้นกุฏิ ...ปี.2
  • ******
  • กระทู้: 252
  • Reputation: 1
  • เพศ: ชาย
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #4 เมื่อ: กันยายน 23, 2008, 07:40:41 am »
 :kiki: :mad: ครับ
Signature cleanned by Admin

ออฟไลน์ rachunsun

  • สอบภาคทฤษฎี
  • *
  • กระทู้: 8
  • Reputation: 0
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #5 เมื่อ: กันยายน 26, 2008, 11:50:15 am »
อยากทราบว่าถ้าเราทำ CC เป็น Authen เองเราจะทำไงครับให้มันเก็บ radius.log ด้วยครับ สู้ๆครับผม :aha:
Signature cleanned by Admin

FoxGuard

  • บุคคลทั่วไป
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #6 เมื่อ: ตุลาคม 08, 2008, 04:45:05 pm »
เยียมครับ Linux ไทยอนาคตสดใสแน่ครับ :vvv:

rafa

  • บุคคลทั่วไป
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #7 เมื่อ: ตุลาคม 15, 2008, 07:39:44 am »
 :aha: :clap: :umm:

boydam

  • บุคคลทั่วไป
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #8 เมื่อ: ธันวาคม 02, 2008, 02:50:50 am »
 kissy

guardman

  • บุคคลทั่วไป
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #9 เมื่อ: เมษายน 08, 2009, 09:48:37 pm »
 :031: :041-1:

ออฟไลน์ nanaidear

  • นักเรียนประถม
  • ****
  • กระทู้: 69
  • Reputation: -1
Re: ทำ ClarkConnect 4.2 Ent sp1 ให้เป็น syslog-ng server ตาม พรบ(ตอนที่ 3)
« ตอบกลับ #10 เมื่อ: มิถุนายน 14, 2010, 01:58:27 pm »
ddddd
Signature cleanned by Admin