Como testear o probar un servidor syslog remoto en GNU/Linux
|Muy seguramente muchos SysAdmin, nos ha tocado alguna vez, instalar y configurar un servidor rsyslog, a donde lleguen todos los logs de diferentes servicios y servidores, es decir, un servidor que recolecte de forma centralizada todos los archivos logs de diferentes equipos. Y por que hacer esto? Principalmente hacerlo por seguridad y facilitar la administracion.
Ahora muchos se estaran preguntando por seguridad es necesario centralizar los logs? y la respuesta es si. Si. un atacante logra comprometer un servidor y los logs se almacen en el mismo, pues muy facilmente el atacante podra modificar dichos logs a su gusto para complicarnos mucho mas la tarea de descubrir como fue que vulneraron dicho servidor. por tal motivo siempre se recomienda enviar los logs a otro servidor
Ahora, despues de hacer todo el proceso de instalacion y configuracion, abrimos los archivos de logs, pero alguna veces no empieza a loguear, y nos preguntamos. ¿Donde esta el problema? en el servidor log, o en el dispositvo el cual es el encargado de enviar los logs? Para resolver esta inquietud y darnos una idea de donde esta el problema, podemos hacer una prueba muy sencilla, solo basta con enviar un pequeño mensaje al puerto donde esta escuchando rsyslog usando netcat:
nc -w1 -u ip_syslog puerto <<< «Probando servidor syslog.. mensaje enviado desde mi maquina local»
Si nuestro servidor rsyslog esta bien configurado, despues de ejecutar la prueba anterior, al abrir los archivos de log debera aparecer el mismo mensaje:
De ser la prueba exitosa quiere decir que el problema radica en el equipo el cual es el encargado de enviar los logs, y se debe revisar la configuracion de dicho equipo para que envie los logs adecuadamente al servidor de logs remotos. Si por el contrario el mensaje no llega correctamente, deberas revisar la configuracion de tu servidor de logs.