Cấu hình Remote Syslog trong Linux


Trong nhiều tổ chức, SIEM (Security Information and Event Management) là công cụ trung tâm để thu thập và phân tích log. Khi tích hợp syslog về SIEM, toàn bộ sự kiện từ server, firewall, router, switch và ứng dụng đều được đưa về một điểm tập trung, giúp đội ngũ SOC (Security Operations Center) phát hiện và điều tra các hành vi bất thường.

---

1. Gửi Syslog về Remote Server


Trong file cấu hình syslog (ví dụ /etc/rsyslog.conf hoặc /etc/rsyslog.d/*.conf), bạn có thể thêm các rule để gửi log đi:

• Gửi toàn bộ sự kiện qua UDP:

*.* @<remote-host>:<port>

• Gửi toàn bộ sự kiện qua TCP (sử dụng @@ thay vì @):

*.* @@<remote-host>:<port>

• Gửi chọn lọc theo facility và severity. Ví dụ: chỉ forward các sự kiện mức emerg đến server 192.168.222.1 cổng UDP 10514:

*.emerg @192.168.222.1:10514

Lưu ý:

• Nếu không chỉ định cổng, syslog mặc định dùng 514/UDP hoặc 514/TCP.
• Sau khi chỉnh sửa cấu hình, bạn bắt buộc phải restart dịch vụ syslog (systemctl restart rsyslog) để rule có hiệu lực.

---

2. Kiểm thử cấu hình Syslog với logger


Khi cấu hình xong, bạn có thể test rule bằng lệnh logger. Đây là công cụ tích hợp sẵn cho phép tạo log thủ công.

Ví dụ rule cấu hình:

auth,authpriv.* /var/log/auth.log

Test bằng:

logger -p auth.info "My auth.info logging test"

Kết quả: mở file /var/log/auth.log, bạn sẽ thấy entry tương ứng:

Aug 5 15:49:53 ubuntu ed: My auth.info logging test

Ngoài ra, có thể test gửi log trực tiếp đến remote syslog server:

logger -p auth.info -n 192.168.222.1 -P 10514 --UDP "My auth.info logging test"

• -n : chỉ định địa chỉ syslog server
• -P : chỉ định cổng (mặc định 514)
• --UDP hoặc --TCP : chọn giao thức

---

3. Câu hỏi ôn tập

Câu 1: Khi thay đổi cấu hình logging, người quản trị cần làm gì?

• ✅ Restart logging service

Câu 2: Làm thế nào để test logging process trên Linux?

• ✅ Sử dụng lệnh logger

​