16-09-04 01:58
[MS Windows] Servis syslog u okruženju Windowsa, klijentova strana
piše DAMIR GLAVAČ
Prije nego objasnimo kako se koristi ovaj servis potrebno je opisati što je i kako funkcionira. Za unix administratore ovo nije neka novost, pošto je syslog dio unix operativnog sustava, ali za korisnike Windowsa to bi moglo biti otkriće, jer se na te strojeve ovaj servis mora naknadno instalirati pošto ne dolazi s klasičnom instalacijom.
Najkraće, syslog je servis koji u stvarnom vremenu prikuplja zapise iz event loga te ih prebacuje na centralni server na kojemu se vrti syslog deamon koji skuplja te zapise u definiranu datoteku. To znači da, u trenutku kad se dogodi neki event na stroju, on se zapisuje i na centralnom serveru i lokalno u event log. To nije loše znati jer smo u svakom trenutku sigurni da imamo backup logova u slučaju neke havarije pri kojoj se logovi na klijentskom računalu izgube. U našemu je primjeru postupak kojim se log eventi sa strojeva pod Windowsima spremaju na centralni server pod unixom.
Postoji nekoliko programa koji omogućuju snimanje Windows logova u syslog. Mi smo testirali program "SNARE for Windows 2.4.1". Sam program je veličine 581 KB, a možete ga skinuti sa sljedeće stranice:
http://www.intersectalliance.com/projects/
Instalacija je krajnje jednostavna i što bi se reklo, svodi se na next, next...
Prilikom instalacije instalira se i snare servis koji presreće evente koji se unose u logove Windowsa i prenosi ih do centralnog servera.
Nakon završetka instalacije otvara se pregledno sučelje programa u kojemu treba podesiti još nekoliko parametara. Prvi i osnovni od njih je upisivanje IP adrese servera na koji se spremaju eventi (u UNIX svijetu poznati loghost). Kako bi se poslani eventi ispravno protumačili i spremili na serveru potrebno je odrediti još dvije stvari: Facility i Severity.
Što ćete odabrati u tim opcijama je podatak koji ćete dobiti od administratora na stroju na kojemu se vrti syslog deamon. Sam program može povući postavke koje se prate u Event Vieweru kako bi znao što će slati, a mogu se dodatno definirati i drugiposebni izbori.
Za slučaj da korisniku zatrebaju spremljeni zapisi o eventima, zadatak administratora centralnog syslog servera je da mu isfiltrira evente i izlista one koji udovoljavaju traženim zahtjevima.
Od tehničkih parametara treba spomenuti da syslog radi preko UDP protokola koristeći port 514, tako da promet na mreži mora ići preko tog porta.
Poruka koju syslog šalje je u tekstualnom obliku, a sastoji se od PRI koda (Priority) koji enkodira Facility i Severity postavke syslog agenta, od zaglavlja poruke i od samoga teksta poruke. Naime, syslog servis, ovisno o vrsti unix servisa i konfiguraciji samoga syslog servisa, ima mogućnost bilježenja različitih log zapisa u različite datoteke, ovisno o "facility" postavci ? kernel, user, auth, daemon... ili "severity" razini ? Emergency, Alert, Critical, Error, itd. Facility omogućava da se poruka kategorizira po tipu eventa koji se šalje.
Ovisno o izabranim postavkama, za facility i severity se generira PRI broj. S obzirom da se koristi UDP protokol ne može se jamčiti da će poruka poslana s klijentskog računala na server doista i stići. Isto tako, poruke mogu kasniti, ili ne stići po redoslijedu, što treba uzeti u obzir pri njihovom kasnijem provjeravanju.
|