Syslog-NG - Congurando um servidor de logs

Autor: Rik <ric.galossi at gmail.com>

Data: 30/07/2012
Instalao e congurao
Instalando o servidor de logs
Pessoal, hoje iremos congurar um servidor de logs em nossa rede.
Esta uma funcionalidade extremamente interessante de congurarmos, pois
um item to importante que um dos requisitos da norma ISSO/IEC
27002:2005.
Imaginem que o seu servidor foi invadido e o atacante apagou os logs do
servidor, se voc possui um servidor de logs em sua rede, voc vai poder
realizar a anlise dos logs do servidor que foi invadido e poder entender um
pouco melhor o que aconteceu.
Ento vamos l pessoal, este um item bem fcil de congurar, no seu
servidor de logs instale o syslog-ng. Em distribuies baseadas no Debian,
execute:
# aptitude install syslog-ng
O padro do Debian o rsyslog, ento ele vai perguntar se voc quer
remov-lo. Pressione "Y" para conrmar e depois para instalar.
Congurao
Depois que o Syslog-ng estiver instalado, v no diretrio dele para editar seu
arquivo de congurao:
# cd /etc/syslog-ng
# pico syslog-ng.conf
Syslog-NG - Congurando um servidor de logs [... http://www.vivaolinux.com.br/artigos/impressor...
1 de 4 07-08-2013 11:35
No campo SOURCE, voc vai adicionar a seguinte linha para denir o nome
do source e protocolo utilizado para realizar a transferncia dos logs:
source log_redeinterna { udp();};
Iremos utilizar o protocolo UDP para gerar menos trfego na rede, agora
iremos congurar as mquinas remotas, no campo FILTER adicione a
seguinte linha:
lter f_maq113 { netmask(192.168.0.113); };
Aqui coloquei "f_maq113", pois o IP da minha mquina nal 113, mas voc
pode car vontade para organizar do jeito que quiser. Ou tambm pode ser:
lter f_maq113 { host("poseidon"); }; # Onde "poseidon" o nome da minha
mquina.
Voc ainda pode fazer um ltro mais especco, onde s os logs que contm a
palavra "sshd" sero encaminhados para nosso servidor de logs:
lter f_maq115_ssh { netmask(192.168.0.115) and match("sshd"); };
Obs.: Lembrando que voc pode substituir o "netmask" da regra por "host" e
especicar o nome da mquina.
Agora, precisamos dizer ao Syslog onde ele ir armazenar os logs que sero
enviados pra ele, no campo DESTINATION adicione as seguintes linhas:
destination d_maq113 { le("/var/log/maq113.log"); };
destination d_maq115_ssh { le("/var/log/maq115_ssh.log"); };
Percebam que o nome do "destination" segue a mesma lgica dos "lters
d_maq113", pois o nal do IP termina com 113.
Agora que j conguramos nosso lter e nosso destination, precisamos
somente "ativar" a congurao com o parmetro log, no campo LOG
adicione as seguintes linhas:
log { source(log_redeinterna); lter(f_maq113); destination(d_maq113); };
Syslog-NG - Congurando um servidor de logs [... http://www.vivaolinux.com.br/artigos/impressor...
2 de 4 07-08-2013 11:35
log { source(log_redeinterna); lter(f_maq115_ssh);
destination(d_maq115_ssh); };
Salve o arquivo e reinicie o Syslog-ng:
# /etc/init.d/syslog-ng restart
Congurao dos clientes
Depois deste pequeno trabalho, precisamos congurar nossos clientes
(maq113 e maq115_ssh)
Instale o Syslog-ng no cliente, assim como no servidor:
# aptitude install syslog-ng
Agora, vamos congurar nosso cliente:
# cd /etc/syslog-ng
# pico syslog-ng
Adicione a linha abaixo no campo DESTINATION:
destination servidor_log { udp("192.168.0.10" port(514)); };
Bem simples, no ?
Esta linha onde acontece a mgica, ela manda uma cpia de todos os logs
para o nosso servidor de logs, que o IP "192.168.0.10" na porta padro 514.
Se voc no quiser que ele mande todos os logs para o servidor, voc pode
criar um ltro especicando o que quer mandar, como mostrado a baixo:
lter f_servidor_log { level(info, warn, err, crit) and facility(auth, authpriv,
daemon, mail, news, cron, user); };
Desse jeito, voc pode personalizar de acordo com sua necessidade, depois
s adicionar a linha de log abaixo no campo LOG do syslog-ng:
log { source(src); destination(servidor_log); };
Syslog-NG - Congurando um servidor de logs [... http://www.vivaolinux.com.br/artigos/impressor...
3 de 4 07-08-2013 11:35
Reinicie o Syslog-ng:
# /etc/init.d/syslog-ng restart
Obs.: Siga as mesmas instrues nos demais clientes.
Pronto, com isso que zemos, nosso servidor de log j est operando
perfeitamente.
Para testar a congurao, faa alguma operao na mquina cliente e
verique se foi criado o arquivo de log no servidor.
No prximo tutorial, iremos aprender como rotacionar os logs do servidor.
Bem, isso pessoal. Espero ter ajudado, at a prxima!!
Artigo previamente publicado em:
Congurando um Servidor de Logs com Syslog-NG
guiadoti.blogspot.com.br
http://www.vivaolinux.com.br/artigo/SyslogNG-Congurando-um-servidor-
de-logs
Voltar para o site
Syslog-NG - Congurando um servidor de logs [... http://www.vivaolinux.com.br/artigos/impressor...
4 de 4 07-08-2013 11:35