Syslog / SNMP-Trapで監視することに。
WAFからのSyslogはlocal3に割り当て。SNMP-Trapはlocal6としてSyslogへ記録。
# vi /etc/syslog.conf
# Syslog messages from waf
local3.debug /var/log/waf_debug
local3.info /var/log/waf_info
local3.notice /var/log/waf_notice
local3.warn /var/log/waf_warn
local3.err /var/log/waf_err
local3.crit /var/log/waf_crit
local3.alert /var/log/waf_alert
local3.emerg /var/log/waf_emerg
# SNMP-Trap
local6.* /var/log/snmptrap.log
外部からSyslogを受け付けるように、"-r"オプションを指定。
# vi /etc/sysconfig/syslog
SYSLOGD_OPTIONS="-m 0"
↓ 変更
SYSLOGD_OPTIONS="-r -m 0"
Syslogをリスタート。
# service syslog restart
なぜかポート514をリッスンしない。。SELinuxが原因であることが分かり、無効化。
# vi /etc/sysconfig/selinux
SELINUX=enforcing
↓ 変更
SELINUX=disabled
次にNet-SNMPのインストール。(インストールしたいのは、snmptrapd)
# yum install net-snmp
他にも関係ありそうなのを全部インストール。
# yum install net-snmp-utils net-snmp-perl net-snmp-devel
# rpm -aq |grep snmp
net-snmp-5.3.1-24.el5_2.2
net-snmp-devel-5.3.1-24.el5_2.2
net-snmp-utils-5.3.1-24.el5_2.2
net-snmp-libs-5.3.1-24.el5_2.2
net-snmp-perl-5.3.1-24.el5_2.2
設定ファイル(snmptrapd.conf)を新規作成。認証を無効化して外部からのTrapを受け付けるようにするだけ。
# vi /usr/share/snmp/snmptrapd.conf
disableAuthorization yes
snmptrapdをスタート。Syslogのlocal6のファシリティへ出力するようオプション指定。
# snmptrapd -Ls 6 -c /usr/share/snmp/snmptrapd.conf
起動後も実行されるように、rc.localへ記述。
# vi /etc/rc.d/rc.local
export MIBS=ALL
snmptrapd -Ls 6 -c /usr/local/share/snmp/snmptrapd.conf
プライベートMIBファイルは、 /usr/share/snmp/mibs の配下へコピーし、全てのMIBファイルを利用するように環境変数をセット。
"kill -HUP
0 件のコメント:
コメントを投稿