Syslogserver für Time Capsule unter MacOSX

Sonntag, 12. Dezember 2010 |  Autor:

Kürzlich kam die Frage auf, hat Snow Leopard einen Syslog Server, also auch einen der von aussen erreichbar ist ?
Die Antwort ist ja er hat, wer also zum Beispiel den Syslog der Time Capsule auf einen zentralen Syslog Server umleiten will um den Zugriff und andere Meldungen zentral zu überwachen, kann dies bereits mit Bordmitteln von MacOSX erledigen.
In der Standardinstallation von Snow Leopard ist der Syslogserver eingerichtet aber er lauscht nur auf eigene Einträge.
Das hängt damit zusammen, daß diese Möglichkeit, wegen potenzieller DoS Angriffe auf den Syslog Dienst abgeschaltet ist.
Zum Einschalten müssen folgende Schritte gemacht werden.

Konfiguration des Syslog Dienstes, damit auch auf die Aussenwelt gelauscht wird.

Terminal öffnen

sudo vi /System/Library/LaunchDaemons/com.apple.syslogd.plist

und die Kommentarzeichen um den Bereich entfernen.

                <key>NetworkListener</key>
                <dict>
                        <key>SockServiceName</key>
                        <string>syslog</string>
                        <key>SockType</key>
                        <string>dgram</string>
                </dict>

Da Time Capsule nur nach local0 senden kann, muss noch der Eintrag in der syslog.conf angepasst werden.

sudo vi  /etc/syslog.conf

Der vorhandene Eintrag für

local0.*         /var/log/appfirewall.log

kann durch den folgenden Eintrag ersetzt werden, schliesslich hat eine Application Firewall auf einem Server nichts verloren,
dafür ist die ipfw zuständig.
Wenn man das nicht ändern will, findet man die syslog Meldungen der Time Capsule eben in dieser Datei.
Sollte der Eintrag nicht vorhanden sein, dann fügt man die Zeile zu.

local0.*        /var/log/TimeCaps.log

Jetzt noch die Datei initial anlegen mit

sudo touch  /var/log/TimeCaps.log

und den syslog neu starten

sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist
sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist

Jetzt erscheint in der App Konsole im Verzeichnis /private/var/log der TimeCaps.log und wird stetig von Time Capsule mit Syslogmeldung befüllt.
Für eine Test kann man auf der Time Capsule bei der Syslog-Protokolierung “7 – Debug – Information” auswählen, die IP Adresse des eben eingestellten Syslogservers eintragen und schon wird man allumfassend über den Zustand seinerTime Capsule informiert.

Die eigenen Einträge sendet man im übrigen mit einem kleinen Eintrag in die /etc/syslog.conf an einen entfernten Syslogserver.

sudo vi /etc/syslog.conf

und dann entweder folgende Zeile anfügen.

*.*       @10.0.0.50

Möchte man nicht alles an den zentralen Server senden, sondern beispielsweise nur Installationsmeldungen dann sieht der Eintrag so aus.

install.*	@10.0.0.50

Anschliessend noch den syslogd neu starten.

sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist
sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist
Tags »   , , , , , «

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Anleitung, Apple, OSX, Tipps

Diesen Beitrag kommentieren.

Ein Kommentar

  1. 1
    Thomas 

    Man muss ggf. das Format des plist-files mittels plutil -convert … in xml wandeln und wohl besser nach dem Editieren wieder zurückwandeln. Zumindest im 10.6.6 Server liegt das File binär vor, der Tipp hat ansonsten aber gut gewirkt. Danke dafür.

Kommentar abgeben