Servidor para centralização de logs - Fedora 7

Em redes de grande porte com muitos servidores, fica impossível dar a devida atenção a cada servidor. Para um melhor trabalho é interessante centralizar os logs em um único servidor e, a partir dele, gerar relatórios e comparativos.

[ Hits: 27.095 ]

Por: Milton Paiva Neto em 27/11/2007


Configurando um servidor concentrador de logs



Em redes com muitos servidores, a tarefa de gerenciar os logs dos servidores fica complicada. Para resolver esse problema uma facilidade que pode ser utilizada é a centralização dos logs.

A técnica consiste em configurar uma máquina como servidor de logs e configurar o restante dos servidores para que seus logs sejam enviados para o servidor de logs.

A partir dessa centralização é possível obter-se muitas informações, inclusive informações comparativas, como por exemplo, saber qual servidor recebe mais acessos. Os arquivos de log podem ser analisados de forma mais clara com diversas ferramentas especializadas.

Outro benefício da centralização dos logs é a possibilidade de ter os logs das máquinas armazenados em uma outra máquina, pense na hipótese de uma "pessoa" invadir um servidor, o "invasor" invade o servidor e apaga todos os seus logs, como os logs são gravados automaticamente em um outro servidor esse "invasor" terá mais dificuldade para ocultar seus rastros.

Inicialização do servidor de logs

Inicialização do servidor centralizador de logs:

1) Desative, através do comando ntsysv, o serviço syslogd.

2) Digite:

# /etc/init.d/syslog stop

3) Digite o comando:

# /sbin/syslogd -r -m 0

4) Edite o arquivo rc.local:

# vi /etc/rc.d/rc.local

e adicione a linha:

/sbin/syslogd -r -m 0

    Próxima página

Páginas do artigo
   1. Configurando um servidor concentrador de logs
   2. Máquinas clientes
   3. Dicas do que precisa ser feito
Outros artigos deste autor

PDC - Samba + LDAP - Fedora 7

Leitura recomendada

Quebrando chave WEP - Wired Equivalent Privacy (parte 2)

Travando qualquer máquina Linux

Cacti - Monitorar é preciso

Prey Project - Localizando seu notebook roubado

Ataque de Rougue AP com AIRBASE-NG

  
Comentários
[1] Comentário enviado por y2h4ck em 27/11/2007 - 10:20h

Então cara muito bom seu tuto. Realmente a centralização de logs é bem facil para agilizar o processo de gerenciamento de eventos porém...
temos que ter em mente alguns riscos envolvidos nisto:

- 1) Os logs trafegam em Clear Text pela rede: Se alguem estiver sniffando a rede e pegar um auth.log passando pode conseguir informações uteis para um ataque mais perigoso.


- 2) Deve-se tomar cuidado com uso de hostnames em servers de syslog uma vez que se um atacante fizer um DNS Spoof na rede pode direcionar todos os logs para a maquina dele e ferrar com tudo.


Bom, workaround ? Pode-se criar um túnel com Stunnel e criptografar usando TLS/SSL dai fica mto bom =]

Como Admin seu artigo é 10, como segurança é 5 :P



Valeu. []s

[2] Comentário enviado por ALIBI em 29/11/2007 - 10:40h

Será que podem me ajudar, tenho vários servidores e gostaria de mandar os logs para o meu serverlog, mas quero saber se tem como mandar separado por maquinas

Ex:
Maquina 1
Maquina 2

Como faria isso ?

Obrigado

[3] Comentário enviado por gprendin em 07/04/2008 - 12:04h

Existe algum servidor centralizador de logs com uma interface amigável?

Obrigada

[4] Comentário enviado por milton.paiva em 23/03/2012 - 14:51h

Realmente http://www.vivaolinux.com.br/perfil/verPerfil.php?login=y2h4ck, os dados trafegam em clear text ! Então, como vc mesmo recomendou é melhor usar um tunnel criptografado para manter os dados à salvo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts