Remote Logging SysLog

syslog es un estándar de facto para el envío de mensajes de registro en una red informática IP. Por syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los mensajes de registro. Un mensaje de registro suele tener información sobre la seguridad del sistema, aunque puede contener cualquier información. Junto con cada mensaje se incluye la fecha y hora del envío.

En nuestro caso vamos a utilizar sylog-ng(nextgen) ya que es mucho mas flexible (Permite aplicar filtros, clasificar de acuerdo a distintos orígenes y enviar a diferentes destinos los logs, etc...).El archivo de configuración a modificar en cuestión es /etc/syslog-ng/syslog-ng.conf, tanto en el servidor como en los clientes que enviaran los logs por red. Añadimos al Server las siguientes lineas:

source remote { tcp(port(514) keep-alive(no)); };
destination hosts { file("/var/log/HOSTS/$HOST/$FACILITY" owner(root)
  group(root) perm(0600) dir_perm(0700) create_dirs(yes)); };
log { source(remote); destination(hosts); };

Así estará escuchando por el puerto 514 cualquier sourcelog emitida por los clientes y la guardara en carpetas separadas con la estructura /var/log/HOSTS/"hostname"/. En los clientes hemos añadido las siguientes lineas al config file:

destination loghost {tcp("IP_SERVER" port(514));};
log { source(src); destination(loghost); };

Esto enviara la totalidad de logs que gestiona syslog a nuestro server.