Servidor de log no Debian com Syslog-ng

Quando falamos de segurança, também devemos nos preocupar com nossos logs. É recomendado que todos os logs sejam guardados por anos, pois neles podemos obter informações válidas, porém estas são válidas também para os crackers. Neste artigo utilizaremos o syslog-ng com uma interface web para armazenar o log de todos os servidores em um único servidor centralizado.

[ Hits: 72.482 ]

Por: Leonardo Damasceno em 27/05/2010 | Blog: https://techcraic.wordpress.com


Instalação dos requisitos



Requisitos:
  • Ambiente LAMP (Linux, Apache, MySQL e PHP)
  • Syslog-ng
  • PHP-Syslog-ng

Eu utilizo o repositório oficial do Debian no Brasil:

deb http://ftp.br.debian.org/debian squeeze main contrib non-free

Caso não tenha esse repositório, aconselho adicionar ao seu sources.list. Comece instalando o ambiente LAMP:

# apt-get install apache2 mysql-server php5 php5-mysql

Defina sua senha para o banco e aguarde a configuração dos pacotes baixados.

Agora vamos instalar o syslog-ng:

# apt-get install syslog-ng

Precisamos baixar o Php-Syslog-ng, faça o download da versão desejada aqui:
Neste artigo utilizaremos a versão 2.8. Após feito o download, vamos descompactar o mesmo no diretório padrão do apache:

# tar -zxvf phpsyslogng-2.8.tar.gz -C /var/www

Então renomeie o diretório descompactado para phpsyslog:

# cd /var/www
# mv phpsyslogng-2.8 phpsyslog


    Próxima página

Páginas do artigo
   1. Instalação dos requisitos
   2. Adaptando e configurando o banco MySQL
   3. Configurando o Apache2
Outros artigos deste autor

Adicionando usuário no OpenLDAP

Segurança com iptables

Qmail: simples e funcional

I-Educar no Gnu/Linux

Criando cluster com o PFSense

Leitura recomendada

Tor no BackTrack 5 - Instalação, configuração e utilização

Tripwire - Checando a integridade do sistema

Nikto - Tutorial básico e avançado

Wow! O que esta câmera de segurança está fazendo aí?

Identificando dispositivos IoT usando Wireshark e criando uma estratégia interessante de visibilidade em Linux e Unix

  
Comentários
[1] Comentário enviado por silveriosr em 28/05/2010 - 10:29h

posto o arquivo dbsetup.sql, pois ao tentar executar ele dentro do meu mysql esta apresentand o seguinte erro

#ERROR 1046 (3D000) at line 1: No database selected

[2] Comentário enviado por jucaetico em 28/05/2010 - 11:24h

Amigo,

Consigo monitorar maquinas da familia Windows server com esse servidor de LOGs??

Obrigado!

Parabens pelo artigo.

Abraços

[3] Comentário enviado por brennoleto em 12/08/2010 - 05:46h

Amigo, sabe nos passar a configuração no cliente windows para enviar os logs remoto?
Abrasss!

[4] Comentário enviado por leodamasceno em 12/08/2010 - 09:17h

Desculpe a demora para responder humano10 e brennoleto, mas existe um cliente para windows que envia as mensagens para o syslog, é chamado de Snare Agent.

Vocês podem dar uma olhada aqui: http://sial.org/howto/logging/syslog-ng/ na parte em que ele fala sobre o Syslog no Windows. :)

Download e informações sobre o Snare Agent: http://www.intersectalliance.com/projects/SnareWindows/


Um abraço.

[5] Comentário enviado por paulodeolindo em 11/01/2011 - 09:24h

Olá;
Sou iniciante no linux e não entendo muito de apache ou instalações por código fonte. Infelizmente, somente consigo executar os apt-get da vida.
Então, cheguei na parte deste tutorial, onde preciso restartar o apache e me retorna a seguinte mensagem:

#Restarting web server: apache2apache2: Coul not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName#

O que isso significa? Não arrisquei prosseguir daí. Podem me ajudar, por favor? Desde já, grato.

[6] Comentário enviado por leodamasceno em 13/01/2011 - 11:58h

Olá paulodeolindo,
Isso na verdade não é um erro, é apenas um aviso pois você não definiu o campo ServerName lá no arquivo de configuração do apache, ai ele utiliza 127.0.1.1 para tal. Faça o seguinte:

sudo vim /etc/apache2/httpd.conf

Agora, insira:

ServerName localhost

Salve e saia, depois dê um restart no Apache:

sudo /etc/init.d/apache2 restart

[7] Comentário enviado por paulodeolindo em 17/01/2011 - 09:17h

Obrigado Leonardo; consegui mesmo e a ferramenta já está em funcionamento; tenho uma dúvida, pois com essa ferramenta, estou praticamente iniciando minhas atividades Linux na empresa que estou trabalhando. Tenho uma pergunta: existe algum client para Servidores Windows para que estes também mandem os logs para nosso Servidor de Logs?

[8] Comentário enviado por leodamasceno em 17/01/2011 - 09:25h

paulodeolindo, você pode utilizar o Snare, veja:

http://www.syslog.org/logged/logging-windows-events-to-syslog-using-snare/

[9] Comentário enviado por paulodeolindo em 18/01/2011 - 09:25h

Obrigado mais uma vez Leonardo; poxa... já estou sendo chato, mas preciso de mais um bizu seu; toda vez que preciso reiniciar o servidor de logs (pois está em teste), ele coleta logs apenas no modo texto, mas os dados não são exibidos no mysql; achei que rodando o script "syslog2mysql.sh &" resolveria, mas algo está errado e não são exibidos os logs na interface gráfica; tem idéia do que pode estar ocorrendo?
Desde já, grato.

[10] Comentário enviado por dimago em 24/11/2011 - 20:16h

Fala leo e demais amigos do VOL

Como está esta solução de syslog-ng + web? está bacana? tudo certo? Estava pensando em implementar para ver qual eh..

Voces possuem algum screenshot?

Obrigado e abs

[11] Comentário enviado por fabintexas em 22/07/2013 - 23:36h

Iai Leo, blz?

Gostaria de sua ajuda, pois está dando erro ao executar o script do php-syslog-ng ----> mysql -u root -p < dbsetup.sql

Segue o erro:

ERROR 1064 (42000) at line 11: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'TYPE=MyISAM' at line 14


Como posso proceder nesse caso?

Obrigado !!!

[12] Comentário enviado por jsimas em 29/12/2014 - 23:06h

Boa noite, galera!

Estava seguindo o tutorial de vocês e está tudo dentro do que foi colocado no tutorial, mas ainda segue mostrando a mensagem abaixo:

A database connection problem was encountered.
Please check config/config.php to make sure everything is correct and make sure the MySQL server is up and running.
---

Já add a linha > AddType application/x-httpd-php .phtml .php <
Alterei as senhas do BD e do PHP;
Restartei serviços e até agora esse erro não sai. Alguém poderia por favor dá uma dica?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts