Digit Oktavianto Web Log

Catatan Sampah si Digit

Mekanisme Log Forwarding Di Solaris

| Comments

Kadang kala ketika anda sedang mengimplementasikan Log Management atau SIEM, anda diharuskna melakukan rekonfigurasi Log di perangkat anda. Misalnya anda membutuhkan mekanisme Log Forwarding pada device dan perangkat anda, agar Log tersebut bisa masuk ke Log Management ataupun SIEM (Security Information Event Management) Tools. Kasus yang saya hadapi kali ini adalah persis seperti itu. Saya membutuhkan mekanisme Log Forwarding dari Solaris, agar Log Solaris tersebut bisa di forward ke SIEM tools. Hal ini dimaksudkan agar Log dari Solaris tersebut dapat di normalisasi, dan memberikan informasi kepada security analyst melalui dashboard SIEM. Berikut ini adalah cara mekanisme Log Forwarding di Solaris :

Contoh Kasus : Forward Log pada Apache Web Server pada Unix OS :

  1. Untuk push Apache Web Server Access Log ke SIEM / Log Management Tools menggunakan Syslog pada UNIX OS:

    a. Edit file ‘/etc/httpd/conf/httpd.conf’, tambahkan baris berikut pada bagian access_log format:

     CustomLog "|/bin/sh -c '/usr/bin/tail -1f /var/log/httpd/access_log | /usr/bin/logger -thttpd -plocal6.notice'" combined
    
    • Baris konfigurasi di atas bertujuan untuk piping apache access_log ke syslog, dan hasilnya akan ditampilkan ke file ‘/var/log/messages’ (standard syslog file) dengan tag “httpd”.

    • Konfigurasi di atas tidak menghilangkan isi local access_log di server tersebut, hanya menduplikasikan isi apache access_log ke local syslog

    b. Restart apache web server service menggunakan command ‘service httpd restart’ untuk reload konfigurasi

    c. Edit file konfigurasi syslog supaya log apache tidak masuk ke system standard messages (/var/log/messages) dan langsung diforward ke destination.

  2. Forward Syslog pada system Unix OS, agar Log Management dan SIEM tools dapat menerima syslog tersebut.

    a. Edit file konfigurasi syslog ‘/etc/syslog.conf’:

     *.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
    

    tambahkan menjadi:

     *.info;mail.none;news.none;authpriv.none;cron.none;local6.none /var/log/messages
    

    Note : ini untuk exclude semua log dengan facility local6 dari file ‘/var/log/messages’

    b. Di akhir baris ‘syslog.conf’ tambahkan baris berikut:

     local6.* @10.1.65.16
    

    Note: ini untuk mem-forward semua log dengan facility local6 ke syslog server (SIEM / Log Management Tools).

    PENTING!!: di Solaris OS, kemungkinan tidak bisa langsung pointing ke IP address menggunakan @IPAddress, harus didefine terlebih dahulu hostname server anda di /etc/hosts baru nanti pointingnya menggunakan @hostname.

    c. Last, restart syslog daemon untuk reload konfigurasi syslog yang baru:

     /etc/init.d/syslog restart
    

    atau

     service syslog restart 
    

Demikian Mekanisme Log Forwarding di Solaris / Unix OS. Selamat Mencoba.


Happy Hacking

Comments