14-48 การบ​ ริหาร​ความม​ ั่นคงป​ ลอดภัย​สารสนเทศ

4. 	การ​ตดิ ต​ ั้ง​โปรแกรม syslog-ng

       เพื่อท​ ำ�การส​ ่งข​ ้อมูล​การ​จราจรค​ อมพิวเตอร์ไ​ปย​ ังเ​ครื่องแ​ ม่ข​ ่าย centralized log ซอฟต์แวร์ท​ ี่​นิยมใ​ช้​กันค​ ือ
syslog-ng ซึ่งม​ ีค​ วามส​ ามารถส​ ูงก​ ว่าร​ ะบบ syslog ทั่วไป เช่น สามารถร​ ับส​ ่งข​ ้อมูลผ​ ่านโ​พรโ​ทค​ อลท​ ีซ​ ีพ​ ี ทำ�ให้ม​ ั่นใจไ​ด​้
ว่าข​ ้อมูลท​ ีร่​ ับส​ ่งก​ ันร​ ะหว่างล​ ็อกไ​คลเ​อนต​ แ์​ ละล​ ็อกเ​ซิร์ฟเวอรม์​ คี​ วามส​ มบูรณ์ ผใู้​ชง้​ านส​ ามารถก​ ำ�​หนดฟิลเ​ตอรข์​ ้อความ​
ทั้งก​ ่อนส​ ่ง​และ​ก่อน​การจ​ ัด​เก็บ โดยส​ ่ง​ออกใ​ห้จ​ ัด​เก็บใ​นโ​ปรแกรมร​ ะบบจ​ ัดการ​ฐานข​ ้อมูลเ​พื่อใ​ห้​สะดวกใ​นก​ ารเ​รียกด​ ู​
และ​วิเคราะห์ข​ ้อมูล​ล็อก เป็นต้น การ​ติด​ตั้งซ​ อฟต์แวร์​จัดเ​ก็บข​ ้อมูล​การ​จราจร​บน​ระบบป​ ฏิบัติ​การ Ubuntu สามารถ​
ทำ�ได้​ด้วย​การใ​ ช้​คำ�​สั่ง

  $sudo apt-get install syslog-ng

       หลังจ​ าก​นั้นก​ ำ�หนดค​ ่าเ​พิ่ม​ให้ก​ ับไ​ฟล์ syslog-ng.conf ดังนี้​โดย​ให้​พิมพ์​ต่อ​จาก​ไฟล์​คอนฟิกเ​ดิม​ของ​ระบบ
       destination remote {

            udp(“192.168.20.104” port(514));
       };
       Jog {

            source(s aU);
            filter(f messages);
            destination(remote);
       };
       log {
            source(s aU);
            filter(f kern);
            destination(remote);
       };
       ค่าที่​ต้องการต​ ั้งค​ ือ ค่า​หมายเลข​ไอ​พีแ​ อดเดรส​ของเ​ครื่อง​แม่​ข่าย centralized log ในร​ ะบบ สั่ง​ให้​โปรแกรม
syslog-ng ทำ�งาน

  $sudo service syslog-ng start

       จากน​ ั้นก​ ำ�หนด​ค่าใ​ห้​กับ iptables ทำ�การ​ส่ง​ข้อมูลก​ าร​จราจรค​ อมพิวเตอร์​ไปย​ ัง​ตัว syslog-ng agent

  #nano rc.iptablescapture