Construindo um Log Server utilizando Linux, Unix e Windows

Neste artigo são apresentadas as ferramentas e as formas para se construir e gerenciar - de forma fácil e rápida - um logserver remoto para uma rede de computadores heterogênea.

[ Hits: 155.342 ]

Por: Rodrigo Pace de Barros em 29/11/2002


Configurando os hosts da rede



3 - Configurando os hosts da rede


Em quaisquer dos Sistemas Operacionais utilizados os registros de auditoria observados são registrados em determinados diretórios e arquivos, de acordo com os arquivos de configuração neles disponíveis.

Para a construção do log server, não será necessária a instalação do syslog-ng em todas as máquinas monitoradas. Em sistemas Linux/Unix, o próprio syslogd pode ser utilizado, através da configuração do arquivo /etc/syslog.conf. Em sistemas Windows, será necessária a instalação do NTSyslog.

3.1 - Configurando o arquivo /etc/syslog.conf nativo de sistemas Linux/Unix


Para que os logs gerados pelo sistema sejam enviados para o log server, basta incluir uma linha no arquivo /etc/syslog.conf. Esta entrada deverá conter as combinações desejadas de facilities e priorities para a geração de logs do daemon do syslog.

# Arquivo /etc/syslog.conf

...
*.crit;*.err;*.auth   @loghost
...
O arquivo /etc/hosts das máquinas que enviarão os logs para o log server deverá conter o registro necessário para reconhecer a máquina do log server através do seu hostname.

A indicação de loghost deve ser alterada da seguinte forma:

# Arquivo /etc/hosts nos clientes do logserver

...
192.168.0.1   logserver   loghost
...

3.2 - Configurando máquinas com Windows


Máquinas utilizando o Sistema Operacional Windows também podem enviar os logs gerados pelo sistema para o log server. Para tal, será necessária a instalação do software NTSyslog.

Com este software, é possível a definição de um log server remoto para o qual o Windows irá enviar os registros obtidos.

Para a sua instalação, basta executar os seguintes passos:

1. Copiar o arquivo NTSyslog.exe para o diretório c:\Windows\system32\. Assim ela será executada como um serviço do sistema.

2. Executar o comando:

NTSyslog -install

Uma ferramenta gráfica - a NTSyslogCtrl - pode ser utilizada para configurar e definir quais tipos de mensagens serão monitoradas e quais serão as priorities utilizadas para cada uma delas.

3. Para acessá-la, basta executar o arquivo NTSyslogCtrl.exe (onde quer que ele esteja):

NTSyslogCtrl

Com esta ferramenta é possível identificar as priorities e facilities de acordo com os logs gerados pelo sistema. Desta forma, cada evento obtido poderá ser identificado de acordo com o processo que o gerou.

O NTSyslog pode ser configurado para gerar os logs de acordo com a tabela de facilities e priorities abaixo:

Facility:
(0) kernel (12) ntp
(1) user (13) log audit
(2) mail (14) log alert
(3) system (15) clock 2
(4) security/auth1 (16) local 0
(5) syslog (17) local 1
(6) line printer (18) local 2
(7) news (19) local 3
(8) uucp (20) local 4
(9) clock 1 (21) local 5
(10) security/auth2 (22) local 6
(11) ftp (23) local 7


O valor default para as configurações do NTSyslog é user.alert. Para que as alterações feitas na configuração tenham efeito, o serviço do NTSyslog deve ser reiniciado.

O NTSyslog também pode ser configurado via registro do Windows. Porém, o uso da ferramenta NTSyslogCtrl elimina esta necessidade.

Após configuradas todas as máquinas, o sistema do log server irá começar a registrar as ocorrências enviadas pelos sistemas remotos. Porém, para ser bem utilizada, esta informação terá que ser bem tratada e analisada.

Uma boa ferramenta para a análise dos logs chama-se swatch.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação do Log Server
   3. Configuração do Log Server
   4. Configurando os hosts da rede
   5. Utilizando o swatch
   6. Créditos e informações adicionais
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Chkrootkit - Como determinar se o sistema está infectado com rootkit

Utilização Segura do SSH

Snort em modo defensivo com Flex Response 2

Aplicação do firmware intel-microcode no Slackware

Definição de hacker

  
Comentários
[1] Comentário enviado por agk em 06/07/2004 - 14:10h

Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.

[2] Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h

Excelente artigo!!!, vou testar o procedimentos do artigo!!!

[3] Comentário enviado por fliperbr em 19/03/2007 - 12:28h

Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:


destination loghost {
tcp("ipservidor" port(514));
};

log {
source(src);
destination(loghost);
};

[4] Comentário enviado por removido em 18/04/2007 - 10:41h

Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:

checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:

No package 'eventlog' found

Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.

Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.

dti-0319:/usr/src/syslog-ng-2.0rc4#

Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.

[5] Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h

Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,


log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };

como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?

O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts

Até mais.

[6] Comentário enviado por backfly em 17/01/2008 - 21:41h

Galera,

Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.

Alguem pode me ajudar, desde já agradeço.

[7] Comentário enviado por epgielow em 12/03/2008 - 17:44h

Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...


[8] Comentário enviado por epgielow em 12/03/2008 - 17:44h

+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)

[9] Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h

?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote:


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts

Severity:
(0) emergency (4) warning
(1) alert (5) notice
(2) critical (6) information
(3) error (7) debug