[精讚] [會員登入]
527

自行撰寫syslog server建立資訊安全控管中心#3 -- 程式下載和安裝

利用PERL將syslog收攏到資料庫的程式,程式下載和安裝

此文完整連結 http://n.sfs.tw/11443

複製連結 自行撰寫syslog server建立資訊安全控管中心#3 -- 程式下載和安裝@新精讚
(文章歡迎轉載,務必尊重版權註明連結來源)
2017-07-17 12:23:21 最後編修
2017-07-17 00:48:44 By 張○○
 

此文分為四個部分

自行撰寫syslog server建立資訊安全控管中心 #1 -- 前言及syslog介紹
自行撰寫syslog server建立資訊安全控管中心 #2 -- 架構和作法
自行撰寫syslog server建立資訊安全控管中心 #3 -- 程式下載和安裝
自行撰寫syslog server建立資訊安全控管中心 #4 -- 過濾條件設定

程式下載

https://github.com/AxerZ/note_syslog

安裝

下載下來直接可執行,但此程式需要一些PERL的模組,可用CPAN安裝,必要時可以參考 [PERL] 使用CPAN安裝模組@新精讚

use IO::Socket;
use threads;
use threads::shared;
use DBI;
use Text::Iconv;
use Time::Local;
use Time::Elapse;
use Mail::Sendmail;

建立資料庫

建立資料表,請先建立資料庫並給予適合的權限(略)

$ mysql -u 您的帳號 -p -B 您的資料庫名 < logdb.sql

設定

$ vi logsrvmain.pl

# 設定聆聽的 udp 埠,多個port
my @udp_listen_port = (514, 5140, 5144, 51444);
my $DB_IP="127.0.0.1";  # 要存入資料庫的 IP
my $DB_name="logdb";  # 資料庫的名稱
my $DB_account="offline";  # 資料庫帳號
my $DB_passwd="123456";  # 資料庫密碼
# 每隔幾秒將記錄寫入記錄檔,這裡可設定任意秒數>10秒,但如果要配合 MRTG 使用,以設定300秒的因數為宜,例如60、150等。
my $log_interval=300; #log count in every 60 seconds
my $outputfile = "~/log.tmp";   # 無法辯視格式的記錄則輸出到這個檔案
my $enable_mrtg = 1;    # set to 0 關掉MRTG
# 設定記錄檔目標的目錄,這裡的目錄將來要供 syslog2mrtg.pl 程式使用,路徑最後的'/'請保留
my $mrtg_workdir = '/usr/local/www/apache22/data/diagrams/';

設定要過濾掉的syslog條件

push @filter,"ldap; program; !slapd","ldap; level; info..emerg","ftp.tcc.edu.tw; priority; info..emerg";
push @filter,"syslogd; facility; syslogd";
push @filter, "dns; (level; !info..notice) and (program; !named)", "dns; (level; !warning) and (message; !RFC)", "netflow.tcc.edu.tw; program; !sendmail" ;
push @filter, "PIX; message; !Deny%20inbound%20icmp";   #%20 means a space ' '

寄發通知信給管理者,預設會存取資料庫manager表單中的email欄位

my $enable_email ="YES";    # Set to YES if you want the administrator to catch abnormal email notification.

設定寄信的週期秒數>=10秒。
my $email_interval=1200; # interval to send notification email in second.

使用資料庫的管理者名單寄發email (此功能預設啟動,但 $enable_email 需設定為YES)
my $use_database = "YES";

寄信的條件,這裡的設定也會另外說明

push @notification, "*; level; emerg..err", "*; (facility; auth, authpriv) and (level; notice..emerg)";
push @notification, "ftp.tcc.edu.tw; level; emerg..err", "ftp.tcc.edu.tw; (facility; auth, authpriv) and (level; notice..emerg)";
push @notification, "www.tcc.edu.tw; level; emerg..err", "www.tcc.edu.tw; (facility; auth, authpriv) and (level; notice..emerg)";
push @notification, "netflow.tcc.edu.tw; level; emerg..err", "netflow.tcc.edu.tw; (facility; auth, authpriv) and (level; notice..emerg)";
push @notification, "db3; level; emerg..err", "db3; (facility; auth, authpriv) and (level; notice..emerg)";
push @notification, "ldap; level; emerg..err", "ldap; (facility; auth, authpriv) and (level; notice..emerg)";
push @notification, "163.17.40.53; level; emerg..err", "163.17.40.53; (facility; auth, authpriv) and (level; notice..emerg)";

開啟防火牆

請開啟本機防火牆以收資料(過程略),可參考 [Centos7] 新的防火牆firewalld @新精讚

執行

啟動程式只需要下達以下指令即可:

# ./logsrvmain.pl &

要結束程式則要先下達 ps -aux,再將該 process kill掉,目前暫時是這樣,未來我會再改寫

# ps -aux

root  17928  0.0  2.3 29880 24172  p1- I    日12上午   0:43.17 /usr/bin/perl -w ./logsrvmain.pl (perl5.x)

# kill -9 17928

有關過濾條件的進階設定,請參看下一單元:

[自行撰寫syslog server建立資訊安全控管中心 #4 -- 過濾條件設定]

你可能感興趣的文章

[PERL] 12- 副程式 Perl 的副程式就是所謂的函數

[PERL] 01-撰寫第一隻PERL程式 PERL的系列教學文,適合有其他程式經驗但沒學過PERL的人

Freebsd11上安裝PERL模組 freebsd11+ perl module 在freebsd上安裝module還算簡單

[PERL] 18-套件及模組 套件和模組入門

自行撰寫syslog server建立資訊安全控管中心#2 -- 架構和作法 利用PERL將syslog收攏到資料庫的程式,架構和作法

Perl 計算經過的時間 Perl 計算程式執行經過的時間

[PERL] 14-進階比對 #1--取回比對內容 perl的正規表達式進階比對

[PERL] 常態分配亂數產生函數 一般而言我們使用程式內建的 rand 函數取得的亂數是平均分配的,但如果需要常態分配的亂數產生器該怎麼做?

Perl 的列舉寫法(map list) 使用列舉的寫法來設定陣列,非常的強大

[PERL] 13- 變數的視界 Perl 的副程式就是所謂的函數

我有話要說


限制:留言最高字數1000字,超過部分會被截掉。請注意:留言不可帶有網址,會被濾掉。 限制:未登入訪客,每則留言間隔需超過10分鐘,每日最多5則留言。

訪客留言

[無留言]

隨機好文

[jQuery] 利用load()來達成ajax的寫法 jQuery中利用load()來達成ajax的寫法,也有人稱他是假的ajax,作法就是..

為什麼要買長達二十年的保單? 為什麼要買長達二十年的保單?找一個可以說服我買二十年保單的理由。

[HP DL380G7] 生效啟動第3,4片網卡/開啟或關閉內建的網卡 HP DL380G7 預設第3,4片網卡裝完系統後找不到,難道是壞了?要怎麼辦?

為什麼要重造輪子? 什麼輪子?造什麼輪子?我為什麼要重造輪子?

詭異的創業思維 創業的思維中,有多少銀彈,有多少技術,有多少人脈,有多少時間等等,每個都要考慮進去,以熱忱建立的關係脆弱的像蘇打餅乾一樣..