Conhecendo mais sobre LOGs

Publicado por Ricardo Vasconcellos em 13/02/2010

[ Hits: 14.015 ]

Blog: http://www.vivaolinux.com.br/~qxada07

 


Conhecendo mais sobre LOGs



Gostaria de falar um pouco sobre arquivos de logs, pois muitos iniciantes e até mesmo alguns experts em Linux falham na hora de saber onde localizar determinado tipo de log.

Os principais arquivos de logs ficam localizados em /var/log/.

Abaixo iremos conhecer um pouco mais sobre sobre os arquivos de logs.
  • messages e syslog: registram todas as mensagens de erro, alertas, autenticação, acesso etc. Em syslog também são gravadas as informações sobre kernel.
  • dmesg: fornece dados do hardware durante processo de boot. O resultado deve ser igual ao comando "dmesg".
  • boot.log: todas as mensagens de sistema durante o processo de boot são escritas neste arquivo.
  • auth.log: registra todos os dados de autenticação.
  • sudo.log: registra todos os acessos privilegiados pela utilização do comando "sudo". Registra qual usuário executou o comando, em qual host, terminal, caminho, comando executado e qual era o usuário no momento da execução.

IMPORTANTE: Quando o servidor for invadido, os primeiros arquivos "zerados" serão:
  • /var/log/messages
  • /var/log/syslog
  • /var/log/lastlog
  • /var/log/wtmp
  • ~/.bash_history

Para quem não sabe o .bash_history grava todos os comandos digitados.

Daemon Syslogd

O Daemon Syslogd é responsável pela escrita de logs nos arquivos, o mesmo permite personalizar diferentes logs no sistema, como direcionar uma saída de log para um host remoto, exibir uma saída de log a um terminal específico etc.

O syslogd pode ser configurado através do arquivo /etc/syslog.conf utilizando a sintaxe "facility.priority".
  • facility: informaremos o responsável pela produção das mensagens. Ex.: kern, mail, news, security, authpriv, user etc.
  • priority: define qual será o nível de detalhamento das mensagens enviadas por facility. Ex.: debug, info, notice, warning, error, crit, alert, emerg, panic.

Vamos configurar o syslogd para mandar todas as mensagens de priority alert e warning para o terminal virtual tty 12:

*.alert		-/dev/tty12
*.warning	-/dev/tty12

Agora iremos direcionar a saída de log para um host remoto, no nosso caso iremos encaminhar para o host chamado "security". Para isso devemos configurar o DNS ou o /etc/hosts para que o firewall conheça este host.

*.alert		@security
*.warning	@security

Para finalizarmos a configuração acima devemos abrir a porta UDP 514 e iniciar o syslog do host remoto incluindo a opção "-r" no final do comando. Ex.:

# /usr/sbin/syslogd -r

Obs.: Somente lembrando que após realizarmos qualquer alteração no syslog devemos reiniciar o mesmo.

Espero ter ajudado.

Outras dicas deste autor

PHP4 + HTTPD2

Instalando Kernel 2.6.39.2 no Slackware 12

Recuperando / Protegendo senha de ROOT no Slackware

Restringindo conexão brute force com iptables

Aumentando a segurança do seu servidor SSH

Leitura recomendada

Instalando o Virtualbox no Ubuntu

Evitando bruteforce de SSH utilizando o Fail2ban

Definição de senha para uma página da web

Grupo de usuários Linux do Pará

Instalando o XFCE no Debian 5.0 (Lenny) em modo texto

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts