Trong nhiều tổ chức, SIEM (Security Information and Event Management) là công cụ trung tâm để thu thập và phân tích log. Khi tích hợp syslog về SIEM, toàn bộ sự kiện từ server, firewall, router, switch và ứng dụng đều được đưa về một điểm tập trung, giúp đội ngũ SOC (Security Operations Center) phát hiện và điều tra các hành vi bất thường.
1. Gửi Syslog về Remote Server
Trong file cấu hình syslog (ví dụ /etc/rsyslog.conf hoặc /etc/rsyslog.d/*.conf), bạn có thể thêm các rule để gửi log đi:
*.emerg @192.168.222.1:10514
2. Kiểm thử cấu hình Syslog với logger
Khi cấu hình xong, bạn có thể test rule bằng lệnh logger. Đây là công cụ tích hợp sẵn cho phép tạo log thủ công.
auth,authpriv.* /var/log/auth.log
logger -p auth.info "My auth.info logging test"
Kết quả: mở file /var/log/auth.log, bạn sẽ thấy entry tương ứng:
Aug 5 15:49:53 ubuntu ed: My auth.info logging test
Ngoài ra, có thể test gửi log trực tiếp đến remote syslog server:
logger -p auth.info -n 192.168.222.1 -P 10514 --UDP "My auth.info logging test"
