Audit Log Pengguna, Rotasi Log dan Remote Logging pada Fedora-Server 21

Pembahasan mengenai log sistem dan log aplikasi pada Fedora-Server 21 sudah ditulis pada artikel sebelumnya (silakan baca di sini). Selanjutnya, artikel ini akan membahas mengenai audit log pengguna, rotasi log, dan remote logging pada Fedora-Server 21.

III. Log Pengguna

a) Yang gagal login

  • Berkas log pengguna yang gagal login adalah /var/log/btmp.
  • Log btmp berupa berkas binary, untuk dapat membacanya gunakan perintah berikut.
utmpdump /var/log/btmp
Gambar 18: Contoh isi log btmp
Gambar 1: Contoh isi log btmp

b) Yang sedang login

  • Berkas log pengguna yang sedang login adalah /var/run/utmp.
  • Log utmp berupa berkas binary, untuk dapat membacanya gunakan perintah ‘who‘ atau untuk log yang lebih rinci gunakan perintah berikut.
utmpdump /var/run/utmp
Gambar 19: Contoh isi log utmp
Gambar 2: Contoh isi log utmp

c) Yang pernah login

  • Berkas log pengguna yang pernah login adalah /var/log/wtmp.
  • Log wtmp berupa berkas binary, untuk dapat membacanya gunakan perintah ‘last‘ atau untuk log yang lebih rinci gunakan perintah berikut.
utmpdump /var/log/wtmp
Gambar 20
Gambar 3: Contoh isi log wtmp
IV. Rotasi Log

Dari artikel sebelumnya, diketahui bahwa pada umumnya berkas-berkas log tersimpan dalam direktori “/var/log/”. Untuk beberapa aplikasi seperti “httpd” dan “mariadb” mempunyai direktori sendiri dalam  “/var/log/” sebagai tempat penyimpanan berkas-berkas catatannya.

Semakin bertambah banyaknya berkas log yang disimpan, semakin besar pula ukuran direktori “/var/log” hingga suatu saat mungkin akan menghabiskan ruang hardisk yang dapat berakibat tidak berjalannya sistem atau layanan pada Fedora-Server. Untuk mencegah hal tersebut terjadi, Fedora-Server telah dilengkapi dengan mekanisme merotasi berkas-berkas log menggunakan layanan “logrotate“.

Cara kerja rotasi log dengan “logrotate” adalah sebagai berikut.

  1. Berkas log lama dipindahkan atau diganti dengan nama lain (misalnya: dari file.log menjadi file.log.1).
  2. Selanjutnya buat berkas log yang baru. Proses ini dilakukan pada periode waktu tertentu yang kemudian diulangi kembali pada periode berikutnya (misalnya: file.log.1 –> file.log.2, file.log –> file.log.1, create new file.log) dan seterusnya sampai batas jumlah rotasi yang ditetapkan.

Secara bawaan, “logrotate” dikonfigurasi untuk merotasi berkas log setiap satu minggu dan tetap menyimpan berkas-berkas log sampai empat minggu sebelum-sebelumnya. Ilustrasi mengenai cara kerja logrotate dapat dilihat pada gambar 1.

Gambar 4: Ilustrasi cara kerja logrotate dalam periode minggu ke 1 sampai minggu ke 4.

Untuk melihat/ mengubah konfigurasi layanan “logrotate“, gunakan perintah:

# Konfigurasi berkas log secara umum
vi /etc/logrotate.conf

# Konfigurasi berkas log aplikasi tertentu seperti httpd, mariadb
vi /etc/logrotate.d/namaaplikasi

Berikut ini adalah berkas konfigurasi “logrotate.conf” secara bawaan.

Gambar
Gambar 5: Berkas konfigurasi logrotate secara umum

Berikut contoh berkas konfigurasi logrotate dari beberapa aplikasi.

Gambar 3: Berkas konfigurasi logrotate dari aplikasi Apache
Gambar 6: Berkas konfigurasi logrotate dari aplikasi Apache
Gambar 4: Berkas konfigurasi logrotate dari aplikasi MySQL
Gambar 7: Berkas konfigurasi logrotate dari aplikasi MySQL
V. REMOTE LOGGING

Pada artikel ini akan diberikan contoh remote logging dengan Windows 7 sebagai host penerima log Fedora-Server 21. Pada contoh ini, Windows 7 menggunakan aplikasi “Syslog Watcher” untuk menerima log tersebut. Adapun langkahnya adalah sebagai berikut.

1. Unduh aplikasi “Syslog Watcher” pada tautan http://www.snmpsoft.com/downloads/SyslogWatcherSetup-4.7.5-win32.msi, lalu pasang.

2. Sembari menunggu pemasangan selesai, cek alamat IP Windows7 dengan perintah “ipconfig” pada Command Prompt.

Gambar 4: Tampilan hasil perintah "ipconfig" pada command prompt
Gambar 8: Tampilan hasil perintah “ipconfig” pada command prompt

3. Buka berkas konfigurasi rsyslog pada Fedora-Server dengan perintah berikut.

sudo vi /etc/rsyslog.conf

4. Edit berkas tersebut dengan menambahkan baris berikut, lalu simpan.

*.* @alamatIPdiWindows7
Gambar 6: Berkas konfigurasi rsyslog setelah diedit
Gambar 9: Berkas konfigurasi rsyslog setelah di-edit

5. Buka aplikasi Syslog Watcher, pilih mode GUI “Manage Local Syslog Server”

Gambar 7: Tampilan untuk memilih mode GUI Syslog Watcher
Gambar 10: Tampilan untuk memilih mode GUI Syslog Watcher

6. Setelah itu klik menu “Settings”, lalu pilih “Remote Access”.

7. Beri tanda centang pada pilihan “Allow remote connection” dan tentukan nomor port TCP.

8. Klik “OK”. Lalu mulai ulang aplikasi Syslog Watch.

Gambar 8: Tampilang pengaturan aplikasi Syslog Watcher
Gambar 11: Tampilan pengaturan aplikasi Syslog Watcher

9. Setelah dimulai ulang, Syslog Watcher akan menampilkan log-log yang di-remote dari Fedora-Server.

Gambar 9: Tampilan daftar log sistem Fedora-Server yang diterima Windows7
Gambar 12: Tampilan daftar log sistem Fedora-Server yang diterima Windows 7

Demikian, semoga bermanfaat! 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *