Servidor para centralização de logs - Fedora 7

Em redes de grande porte com muitos servidores, fica impossível dar a devida atenção a cada servidor. Para um melhor trabalho é interessante centralizar os logs em um único servidor e, a partir dele, gerar relatórios e comparativos.

[ Hits: 27.099 ]

Por: Milton Paiva Neto em 27/11/2007


Dicas do que precisa ser feito



1) Ajuste o relógio de seus servidores utilizando o "ntp".

Dica: Editar o arquivo /etc/rc.d/rc.local e adicionar a linha:

/usr/sbin/ntpdate SERVIDOR_DE_HORA

2) No servidor de logs, para verificar se o syslog está funcionando, digitar:

# netstat -l

Será exibido:

(texto cortado)
udp        0      0 *:syslog                    *:*
(texto cortado)

Testando o funcionamento do serviço

1) Abra um shell no servidor centralizador de logs e digite:

# tail -f /var/log/secure

2) A partir de uma segunda máquina execute um ssh para uma máquina que esteja enviando seus logs para o servidor de logs. Será exibida uma mensagem parecida com essa no servidor de logs:

Nov 19 17:01:16 192.168.1.99 sshd[16244]: Connection closed by 10.83.1.199
Nov 19 17:03:17 monitoramento sshd[31815]: fatal: Read from socket failed: Connection reset by peer

Página anterior    

Páginas do artigo
   1. Configurando um servidor concentrador de logs
   2. Máquinas clientes
   3. Dicas do que precisa ser feito
Outros artigos deste autor

PDC - Samba + LDAP - Fedora 7

Leitura recomendada

Carnivore e Altivore: Os predadores do FBI

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)

Construindo um Log Server utilizando Linux, Unix e Windows

SDI (IDS) com o SNORT, MySQL, PHP e BASE em 15 minutos

Como saber se houve uma invasão

  
Comentários
[1] Comentário enviado por y2h4ck em 27/11/2007 - 10:20h

Então cara muito bom seu tuto. Realmente a centralização de logs é bem facil para agilizar o processo de gerenciamento de eventos porém...
temos que ter em mente alguns riscos envolvidos nisto:

- 1) Os logs trafegam em Clear Text pela rede: Se alguem estiver sniffando a rede e pegar um auth.log passando pode conseguir informações uteis para um ataque mais perigoso.


- 2) Deve-se tomar cuidado com uso de hostnames em servers de syslog uma vez que se um atacante fizer um DNS Spoof na rede pode direcionar todos os logs para a maquina dele e ferrar com tudo.


Bom, workaround ? Pode-se criar um túnel com Stunnel e criptografar usando TLS/SSL dai fica mto bom =]

Como Admin seu artigo é 10, como segurança é 5 :P



Valeu. []s

[2] Comentário enviado por ALIBI em 29/11/2007 - 10:40h

Será que podem me ajudar, tenho vários servidores e gostaria de mandar os logs para o meu serverlog, mas quero saber se tem como mandar separado por maquinas

Ex:
Maquina 1
Maquina 2

Como faria isso ?

Obrigado

[3] Comentário enviado por gprendin em 07/04/2008 - 12:04h

Existe algum servidor centralizador de logs com uma interface amigável?

Obrigada

[4] Comentário enviado por milton.paiva em 23/03/2012 - 14:51h

Realmente http://www.vivaolinux.com.br/perfil/verPerfil.php?login=y2h4ck, os dados trafegam em clear text ! Então, como vc mesmo recomendou é melhor usar um tunnel criptografado para manter os dados à salvo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts