Construindo um Log Server utilizando Linux, Unix e Windows

Neste artigo são apresentadas as ferramentas e as formas para se construir e gerenciar - de forma fácil e rápida - um logserver remoto para uma rede de computadores heterogênea.

rpacce

Por Rodrigo Pace de Barros em 29/11/2002

Hits: 158.255 Categoria: Linux Subcategoria: Segurança

Parte 5: Utilizando o swatch

4 - Utilizando o swatch

"O primeiro passo para utilizar o swatch é saber o que se quer saber sobre os acontecimentos registrados pelos logs. O segundo passo é definir quais logs contém tais informações. O terceiro é determinar quais gatilhos definem informações críticas" - Lance Spitzner

Assim, tendo as informações geradas pelo log server em uma máquina segura, basta apenas sabermos quais informações serão analisadas e como iremos identificá-las.

A configuração a seguir reflete a busca por indícios de tentativas falhas de acesso de root e usuários comuns nos sistemas Linux/Unix da rede na qual está o log server.

# Arquivo swatchrc
#
# swatch -c /etc/swatchrc -t
# /var/log/messages
#
### Bad login attempts
watchfor /failed/
echo bold
mail addressess=root,subject=Failed Authentication

watchfor /su:/
echo bold
mail addresses=root,subject=Someone sued to root access

### Ignore this stuff
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/

A entrada watchfor indica o padrão a ser procurado nos logs a serem auditados. As entradas entre barras "/" definem estes padrões. Portanto,

watchfor /failed/

faz com que quaisquer ocorrências de "failed" encontradas nos logs disparem uma determinada ação. Esta ação pode ser definida pelo sysadmin, e pode ser, por exemplo, o envio de um e-mail.

mail addresses=root,subject=Someone sued to root access

A entrada ignore indica quais entradas de logs devem ser desprezadas pelo swatch. Portanto, as entradas definidas em:

ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/

não serão consideradas pelo swatch.

Desta forma, os registros observados pelo syslogd, syslog-ng e NTSyslog serão armazenados no log server e analisados pelo swatch. Caso alguma entrada definida no arquivo swatchrc seja encontrada nos logs, as ações tomadas pelo sistema alertarão o administrador do sistema sobre a sua ocorrência.

Páginas do artigo

   1. Introdução
   2. Instalação do Log Server
   3. Configuração do Log Server
   4. Configurando os hosts da rede
   5. Utilizando o swatch
   6. Créditos e informações adicionais

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Estrutura do Iptables

Vulnerabilidade e segurança no Linux

Usando e instalando o Nessus no Linux

Instalação do Freeradius com suporte a EAP-TLS e PEAP-TTLS MSCHAPv2 no Ubuntu

PacketFence em Debian 6

Comentários

#1 Comentário enviado por agk em 06/07/2004 - 14:10h

Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.

#2 Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h

Excelente artigo!!!, vou testar o procedimentos do artigo!!!

#3 Comentário enviado por fliperbr em 19/03/2007 - 12:28h

Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:

destination loghost {
tcp("ipservidor" port(514));
};

log {
source(src);
destination(loghost);
};

#4 Comentário enviado por removido em 18/04/2007 - 10:41h

Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:

checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:

No package 'eventlog' found

Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.

Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.

dti-0319:/usr/src/syslog-ng-2.0rc4#

Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.

#5 Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h

Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,

log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };

como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?

O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts

Até mais.

#6 Comentário enviado por backfly em 17/01/2008 - 21:41h

Galera,

Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.

Alguem pode me ajudar, desde já agradeço.

#7 Comentário enviado por epgielow em 12/03/2008 - 17:44h

Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...

#8 Comentário enviado por epgielow em 12/03/2008 - 17:44h

+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)

#9 Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h

?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote: