こんばんわ


本日は定例パッチの日
いつも通り右欄に反映しています
ご確認ください

最新のFirefox、
「Firefox Hello」が話題になっています
メールでブラウザ共有ができたりして楽しいですよ
Firefoxびいきなので宣伝です


テーマをマイナンバーにしていますが、
ログの監視、
しないといけなくなりましたね…今年から
やってますか
折角なので、
ログサーバをたてて集中監視しようかな
そんな思いつきです

Linuxといえば、
かなり昔にRHELを少しばかり…忘れました
なので勉強がてら、
CentOSを使ってみよう
そんな感じです

 

準備

CentOS7のダウンロード

 

【CentOS】Download CentOS
https://www.centos.org/download/
こちらからダウンロードすると、
CentOS-7-x86_64-DVD-1503-01.iso
こんなファイルが落ちてきます
ファイル名はバージョンアップされると変わります

 

 

 

ISOファイルをDVDに書き込む

インストールする為には、ダウンロードしたISOファイルをDVDに焼かないといけません
丁度、タイムリーに記事がでていたのでご紹介

【@IT】Windows 7／8.1／10でISO／IMGファイルをCD／DVD-Rに書き込む
http://www.atmarkit.co.jp/ait/articles/1305/13/news070.html

OS標準機能で書き込む手順が書かれています
ありがたいですね

 

 

 

 

インストール対象を準備

CentOS7からは、64bitCPU対応版のみの提供となっています
…とはいってもよっぽど古いもの以外は64bitCPUなので大抵のパソコンにインストールできます…にもかかわらず、唯一空いていたパソコンはCrusoeノートのみ
Crusoeは、CentOS4までしか対応していないとのこと
仕方ありません
まずはお試しということで、USBメモリにインストールしてみます
容量は8GBでもいけそうでしたが、空いていたのは16GBでした

 

 

 

 

 

インストール

 

 

 

DVDブート

ではでは準備が整いましたので、DVDブート
メーカーにもよりますが、F8かF12キーでブートメニューが開きますね
開かなければ、DeleteかF１かF2キーでBIOS画面に入り、ブート順序を設定します
インストールの仕方は既にいろいろと公開されているので、Google先生に聞いてみて下さい
結構出て来ると思います…とはいえ、そんなに迷う事も無いですよ
 

インストール先

USBメモリにインストールする際の唯一の注意点は、インストール先としてUSBメモリを選ぶこと当然ですね
「システム」-「インストール先」-「デバイスの選択」-「ローカルの標準ディスク」から選択します…が、その際、表示されているディスクの容量を良く確認して選ぶ
これだけは要注意です
 

ソフトウェア

後は必須ではありませんが、「ソフトウェア」-「ソフトウェアの選択」でソフトウェアを選択します
デフォルトの「ベース環境」として”最小限のインストール”が選択されていますが、デスクトップ環境は欲しかったので”GNOME Desktop”を選択しました
後は、「選択した環境のアドオン」として、”GNOME アプリケーション”,”互換ライブラリ”,”開発ツール”を選択
 

ユーザーの設定

インストールが始まると設定画面が表示されています
「rootパスワード」、もちろん設定します
「ユーザーの作成」、こちらも通常使うアカウントとして一つ登録します

あとはじっくり待つだけ

 

ログサーバ側の設定

USBブート

インストールが終わると「再起動」ボタンを押すことになりますが、ここですかさずUSBブートにします
ブートの仕方はDVDブートで書きましたが、パソコンによってはUSBブート出来ないものもあるので、事前に確認が必要…先に言ってよ～

設定したユーザーで入り、”日本語”を選択すると…無事、デスクトップ環境が表示されます
…が、ネットワーク周りの設定をしないといけません
 

ネットワーク環境の設定

今回の環境は無線LANでDHCPなので、

nmcli device wifi
　 connect つなげる無線LANのSSID password パスワード

このコマンドで
デスクトップ環境の右上のタスクバーにある無線のアイコンからでも、SSID選択とパスワード指定ができますので、そちらでも
 

設定ファイル編集

CentOS7からログ管理の仕組みが変わったらしく、journaldサービスで管理するのが正当とのことですが…これから勉強します
なので今回は、rsyslogを編集

/etc/rsyslog.conf

# アンコメント　：imudp（リモートホストのログをUDPで受ける）というモジュールをロード
$ModLoad imudp
# アンコメント　：リモートホストのログをUDPの514ポートで受ける
$UDPServerRun 514
# 追記　：リモートホストのログを受けるホスト"192.168.1.1/24"
$AllowedSender UDP, 192.168.1.1/24
# 追記　：IPアドレス"192.168.1.1"のリモートホストのログを"/var/log/log_192.168.1.1"に格納
:fromhost-ip, isequal, "192.168.1.1" /var/log/log_192.168.1.1

…実際に運用する際のログファイルは日付指定の方が良いですね、きっと

ひとまず、指定したログファイルのガワを作っておきます

touch /var/log/log_192.168.1.1

 

ファイアウォール設定

リモートホストのログを受信する為、rsyslogで指定したUDPの514ポートを許可します
デスクトップからGUIベースでの設定も出来ますが、ここはコマンドで

 

firewall-cmd --zone=public --add-port=514/udp --permanent

firewall-cmd --reload

 

rsyslogの再起動（設定の反映）

 

systemctl restart rsyslog

 

 

ログを送る側の設定

まずは手始めに無線ルーターの設定をしてみました

 

 

無線ルータの設定

ちなみに先程設定した”192.168.1.1”が無線ルータでした
種類にもよると思いますが、ルータであれば大抵、ログを転送する機能は有していると思います
では、無線ルータの管理画面を開くと「ログ」関連設定の中にある「syslogサーバー（もしくはそれに近しい名前）」に”ログサーバのIPアドレス”を指定します
”ログサーバのIPアドレス”と思った場合は、DHCPであれば「払い出されているIPアドレス」で解ると思いますし、ログサーバ側で（ipconfigではなくCentOS7からは）ipコマンドでも確認できます
…実際に運用する際にはIPアドレスを固定にさせないと
あとは忘れずに、「ログ情報転送機能」を”有効化”


無事、ログがログサーバで確認できるようになりました
他の機器も同じように設定していけばログの確認が楽になりますね
あとは定期的に確認していくこと…それが一番大変なんですが


ではまた


…今回は（いつも！？）自分の覚書的にやったことをタラタラっと書いてしまいました
実際に運用するには、セキュリティの観点からUSBメモリはよろしくないですし、ログサーバ自体の運用とか、ログだけでもログ量の見極めとか、アーカイブ運用とか、監視対象メッセージ精査とか、とかとかがまだまだありますが、まぁまずは始めようという事で