Pular para o conteúdo

Construindo um Log Server utilizando Linux, Unix e Windows

Neste artigo são apresentadas as ferramentas e as formas para se construir e gerenciar - de forma fácil e rápida - um logserver remoto para uma rede de computadores heterogênea.
Rodrigo Pace de Barros rpacce

Por Rodrigo Pace de Barros em 29/11/2002

Hits: 158.253 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Introdução

"Um log server remoto é nada mais do que um sistema configurado para prover espaço em disco para outros sistemas registrarem os seus logs." - Eric Hines

Os dados enviados para o log server poderão ser utilizados para reconstruir os eventos registrados na rede monitorada além de armazenar de forma segura e confiável estes dados obtidos.

Para criar e gerenciar um log server, serão necessárias, basicamente, quatro ferramentas:
  • Syslog-ng
  • Syslogd
  • NTSylog
  • Swatch

Assim, com o uso destas ferramentas corretamente configuradas, um log server poderá ser criado e utilizado para os seus devidos propósitos.

Páginas do artigo

   1. Introdução
   2. Instalação do Log Server
   3. Configuração do Log Server
   4. Configurando os hosts da rede
   5. Utilizando o swatch
   6. Créditos e informações adicionais

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Sistemas e volumes criptografados e escondidos utilizando o TrueCrypt

Security Hacks: Linux & BSD

Quad9 - O que é e como usar

Enviando alertas do Snort por SMS

Análise de Atividades Suspeitas com Audit

Comentários

#1 Comentário enviado por agk em 06/07/2004 - 14:10h
Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.
#2 Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h
Excelente artigo!!!, vou testar o procedimentos do artigo!!!
#3 Comentário enviado por fliperbr em 19/03/2007 - 12:28h
Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:


destination loghost {
tcp("ipservidor" port(514));
};

log {
source(src);
destination(loghost);
};
#4 Comentário enviado por removido em 18/04/2007 - 10:41h
Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:

checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:

No package 'eventlog' found

Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.

Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.

dti-0319:/usr/src/syslog-ng-2.0rc4#

Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.
#5 Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h
Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,


log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };

como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?

O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts

Até mais.
#6 Comentário enviado por backfly em 17/01/2008 - 21:41h
Galera,

Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.

Alguem pode me ajudar, desde já agradeço.
#7 Comentário enviado por epgielow em 12/03/2008 - 17:44h
Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...

#8 Comentário enviado por epgielow em 12/03/2008 - 17:44h
+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)

Contribuir com comentário

Entre na sua conta para comentar.