1 Notas

Los comandos precedidos por "$" implican que debe ejecutar el comando como usuario genérico - no como root
Los comandos precedidos por "#" implican que debería estar trabajando como usuario root.
Los comandos con inicios de línea más específicos como "rtrX>" o "mysql>" indican que debe ejecutar los comandos en un equipo remoto, o dentro de otro programa.

2 Ejercicios

Lo primero es asegurarse de que los routers están configurados para enviar logs a su PC (esto debió quedar hecho en el ejercicio anterior).

2.1 Actualizar la Configuración de syslog-ng

Si todavía no se ha hecho, entre en su máquina virtual y convertirse en el usuario root:

$ sudo -s
#

Configurar syslog-ng para salvar todos los registros del router en un fichero para monitorizarlos.

Editar /etc/syslog-ng/conf.d/10-network.conf,

# cd /etc/syslog-ng/conf.d/
# editor 10-network.conf

... y añadir lo siguiente justo debajo de la línea que comienza con "template":

file("/var/log/network/everything", owner(root) group(root) perm(0644));

Al final, el contenido del fichero deber ser algo como:

filter f_routers { facility(local0); };

log {
    source(s_src);
    filter(f_routers);
    destination(routers);
};

destination routers {
  file("/var/log/network/$YEAR/$MONTH/$DAY/$HOST-$YEAR-$MONTH-$DAY-$HOUR.log"
  owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes)
  template("$YEAR $DATE $HOST $MSG\n"));

  file("/var/log/network/everything", owner(root) group(root) perm(0644));

};

Esto hará que todos los mensajes con "facility local0" vayan a un mismo archivo, de manera que podamos usar un programa que monitoree los mensajes.

Asegúrese de grabar y salir del editor.

Reinicie rsyslog para que recargue la configuración:

# service syslog-ng restart

2.2 Rotación de Archivos de Registro

Cree un script automático para truncar el archivo de registros de manera que no se vuelva demasiado grande (COPIAR y PEGAR):

# editor /etc/logrotate.d/everything

Añadir lo siguiente a este fichero:

/var/log/network/everything {
  daily
  copytruncate
  rotate 1
  postrotate
    /etc/init.d/tenshi restart
  endscript
}

Salvar y salir del fichero.

2.3 Instalar tenshi

# apt-get install tenshi

2.4 Configurar tenshi

Configure tenshi para enviarle alarmas cuando los enrutadores sean configurados (COPIAR Y PEGAR):

# editor /etc/tenshi/includes-available/network

Añada lo siguiente a este fichero:

set logfile /var/log/network/everything
set queue network_alarms tenshi@localhost sysadm@localhost [*/1 * * * *] Log check

group_host ^10\.10\.
network_alarms SYS-5-CONFIG_I
network_alarms PRIV_AUTH_PASS
network_alarms LINK
group_end

Ahora salve y salga del fichero.

Cree un enlace simbólico para que Tenshi recargue el archivo nuevo (COPIAR Y PEGAR):

# ln -s /etc/tenshi/includes-available/network /etc/tenshi/includes-active/

Finalmente, reinicie tenshi:

# service tenshi restart

Puede que vea el siguiene mensaje de alarma:

"[WARNING] /var/log/network/everything: no such file"

No se preocupe por esto, esta bien. El fichero "everything" se creará cuando se reciba un primer mensaje de registro.

2.5 Comprobar Tenshi

Ingrese en su enrutador, y ejecute algunos comandos de configuración (vea el ejemplo):

$ ssh cisco@rtrX                        [donde "X" es el número de su router]
rtrX> enable
Password: <password>
rtrX# config terminal
rtrX(config)# int FastEthernet0/0
rtrX(config-if)# description Description Change for FastEthernet0/0 for Tenshi
rtrX(config-if)# ctrl-z                 (igual que exit, exit dos veces)
rtrX# write memory

No salga del enrutador todavía. Tal como en el ejercicio anterior de syslog-ng, pruebe a bajar y subir una interfaz loopback:

rtrX# conf t
rtrX(config)# interface Loopback 999
rtrX(config-if)# shutdown

Espere unos segundos.

rtrX(config-if)# no shutdown

Ahora salga y grabe la configuración ("write mem"):

rtrX(config-if)# ctrl-z                 (igual que exit, exit dos veces)
rtrX# write memory
rtrX# exit

Verifique que está recibiendo e-mails de Tenshi en el buzón del usuario sysadm. Puede comprobar esto rápidamente mirando al directorio de correo:

$ ls -l /var/mail

Nota: Tenshi chequea /var/log/network/everything una vez al minuto, asi pude ser que tendra que esperar hasta un minuto para que llega un correo al usuario sysadm

Asegurese de estar como usuario sysadmin (no root). Puede abrir una sesión nueva en su máquina virtual, o puede salir de la shell de root (exit), y escribir:

$ mutt

Muévase arriba/abajo con los cursores para seleccionar un mensaje de "tenshi@localhost", luego oprima ENTER para verlo, y q para salir del mensaje, y luego q de nuevo para salir de mutt.

Si no están llegando los correos, revise lo siguiente:

Están llegando registros al archivo /var/log/network/everything?
```
$ tail /var/log/network/everything
```
En estos registros se muestran nombres de nodo como 'rtr5', o posiblemente una IP como 10.10.5.254? Recuerde que la manera en que hemos configurado Tenshi, sólo busca mensajes cuyos nombres de nodo concuerden con el patrón 'rtr' o '10.10' (dependiendo de cómo haya configurado Tenshi).
Revise la configuración de tenshi. Reinicie tenshi si la cambia.
Si todavía está atascado pregunte a su instructor, o a un compañero.

2.6 Opcional: Añadir una regla adicional a Tenshi

Pruebe a ver si puede agregar una regla a Tenshi de manera que se envíe un e-mail si alguien introduce incorrectamente la clave de "enable" en el enrutador.

Pistas:

"PRIV_AUTH_FAIL" es el tipo de mensaje de Cisco IOS en tales casos.
Para probar que funciona su nueva regla, ingrese en el enrutador, escriba "enable", y escriba una clave incorrecta.
Tendrá que reiniciar el servicio Tenshi una vez haya hecho sus cambios en la configuración.

Gestión de Registros Parte 2: Usando Tenshi