Linux 시스템의 샘플 Syslog 서버 구성

안전한 Junos OS 환경에서는 이벤트 감사를 수행하고 이를 로컬 감사 파일에 저장해야 합니다. 기록된 이벤트는 동시에 외부 syslog 서버로 전송됩니다. syslog 서버는 디바이스에서 스트리밍된 syslog 메시지를 수신합니다. syslog 서버에는 스트리밍된 syslog 메시지를 수신하도록 구성된 NETCONF 지원 SSH 클라이언트가 있어야 합니다.

NDcPP 로그는 이벤트를 캡처하며 그 중 일부는 다음과 같습니다.

커밋된 변경 내용
사용자의 로그인 및 로그아웃
SSH 세션 설정 실패
SSH 세션의 설정 또는 종료
시스템 시간 변경

로컬 파일에 이벤트 로깅 구성

로컬 파일에 메시지 저장 및 명령문과 함께 기록할 세부사항 레벨을 구성할 수 있습니다 syslog . 이 예에서는 syslog라는 파일에 로그를 저장합니다.

원격 서버에 대한 이벤트 로깅 구성

NETCONF over SSH를 사용하여 이벤트 로그 메시지를 원격 시스템 이벤트 로깅 서버로 전송하는 이벤트 추적 모니터를 설정하여 감사 정보를 안전한 원격 서버로 내보내도록 구성합니다. 다음 절차에서는 SSH를 통한 NETCONF를 사용하여 시스템 로그 메시지를 안전한 외부 서버로 보내는 데 필요한 구성을 보여줍니다.

원격 서버에서 연결을 시작할 때 원격 서버에 대한 이벤트 로깅 구성

다음 절차에서는 원격 시스템 로그 서버에서 TOE에 대한 SSH 연결이 시작될 때 원격 서버에 대한 이벤트 로깅을 구성하는 단계에 대해 설명합니다.

원격 syslog 서버에서 RSA 공개 키를 생성합니다.
원하는 암호를 입력하라는 메시지가 표시됩니다. 키 페어의 syslog-monitor 스토리지 위치가 표시됩니다.
TOE에서 이벤트를 추적할 수 있는 권한이 있는 라는 클래스를 monitor 만듭니다.
원격 syslog 서버에 있는 키 쌍 파일의 키 쌍을 syslog-monitor 사용하는 인증 및 클래스 모니터로 이름이 지정된 syslog-mon 사용자를 작성하십시오.

SSH로 NETCONF를 설정합니다.

/var/log/messages에 모든 메시지를 기록하도록 syslog를 구성합니다.
원격 시스템 로그 서버에서 SSH 에이전트를 시작하십시오. syslog-monitor 키의 처리를 단순화하려면 시작이 필요합니다.
원격 syslog 서버에서 SSH 에이전트에 키 쌍을 syslog-monitor 추가합니다.
원하는 암호를 입력하라는 메시지가 표시됩니다. 1단계에서 사용한 것과 동일한 암호를 입력합니다.
세션에 external_syslog_server 로그인한 후 디바이스에 터널을 설정하고 NETCONF를 시작합니다.
NETCONF가 설정되면 시스템 로그 이벤트 메시지 스트림을 구성합니다. 이 RPC는 NETCONF 서비스가 설정된 SSH 연결을 통해 메시지 전송을 시작하도록 합니다.
syslog 메시지의 예는 다음과 같습니다. TOE의 관리자 작업에 대해 생성된 이벤트 로그를 syslog 서버에 수신된 대로 모니터링합니다. 감사 서버와 TOE 사이를 통과하는 트래픽을 검사하여 이러한 데이터가 전송 중에 표시되지 않고 감사 서버에서 성공적으로 수신되는지 확인합니다. 로컬 이벤트와 syslog 서버에 기록된 원격 이벤트 간의 로그를 일치시키고 테스트 중에 감사 서버에서 사용된 특정 소프트웨어(예: 이름, 버전 등)를 기록합니다.

다음 출력은 syslog 서버에 대한 테스트 로그 결과를 보여줍니다.

네트 구성 채널

다음 출력은 syslog 서버에서 수신되는 TOE에서 생성된 이벤트 로그를 보여 줍니다.

네트 구성 채널

다음 출력은 수신된 로컬 syslog와 원격 syslog가 유사하다는 것을 보여줍니다.