Este documento explica como configurar um servidor de logs utilizando o syslog-ng em uma rede. Ele descreve como instalar e configurar o syslog-ng no servidor e clientes, definindo fontes, filtros, destinos e logs para encaminhar os registros dos clientes para arquivos no servidor.
Este documento explica como configurar um servidor de logs utilizando o syslog-ng em uma rede. Ele descreve como instalar e configurar o syslog-ng no servidor e clientes, definindo fontes, filtros, destinos e logs para encaminhar os registros dos clientes para arquivos no servidor.
Este documento explica como configurar um servidor de logs utilizando o syslog-ng em uma rede. Ele descreve como instalar e configurar o syslog-ng no servidor e clientes, definindo fontes, filtros, destinos e logs para encaminhar os registros dos clientes para arquivos no servidor.
Data: 30/07/2012 Instalao e congurao Instalando o servidor de logs Pessoal, hoje iremos congurar um servidor de logs em nossa rede. Esta uma funcionalidade extremamente interessante de congurarmos, pois um item to importante que um dos requisitos da norma ISSO/IEC 27002:2005. Imaginem que o seu servidor foi invadido e o atacante apagou os logs do servidor, se voc possui um servidor de logs em sua rede, voc vai poder realizar a anlise dos logs do servidor que foi invadido e poder entender um pouco melhor o que aconteceu. Ento vamos l pessoal, este um item bem fcil de congurar, no seu servidor de logs instale o syslog-ng. Em distribuies baseadas no Debian, execute: # aptitude install syslog-ng O padro do Debian o rsyslog, ento ele vai perguntar se voc quer remov-lo. Pressione "Y" para conrmar e depois para instalar. Congurao Depois que o Syslog-ng estiver instalado, v no diretrio dele para editar seu arquivo de congurao: # cd /etc/syslog-ng # pico syslog-ng.conf Syslog-NG - Congurando um servidor de logs [... http://www.vivaolinux.com.br/artigos/impressor... 1 de 4 07-08-2013 11:35 No campo SOURCE, voc vai adicionar a seguinte linha para denir o nome do source e protocolo utilizado para realizar a transferncia dos logs: source log_redeinterna { udp();}; Iremos utilizar o protocolo UDP para gerar menos trfego na rede, agora iremos congurar as mquinas remotas, no campo FILTER adicione a seguinte linha: lter f_maq113 { netmask(192.168.0.113); }; Aqui coloquei "f_maq113", pois o IP da minha mquina nal 113, mas voc pode car vontade para organizar do jeito que quiser. Ou tambm pode ser: lter f_maq113 { host("poseidon"); }; # Onde "poseidon" o nome da minha mquina. Voc ainda pode fazer um ltro mais especco, onde s os logs que contm a palavra "sshd" sero encaminhados para nosso servidor de logs: lter f_maq115_ssh { netmask(192.168.0.115) and match("sshd"); }; Obs.: Lembrando que voc pode substituir o "netmask" da regra por "host" e especicar o nome da mquina. Agora, precisamos dizer ao Syslog onde ele ir armazenar os logs que sero enviados pra ele, no campo DESTINATION adicione as seguintes linhas: destination d_maq113 { le("/var/log/maq113.log"); }; destination d_maq115_ssh { le("/var/log/maq115_ssh.log"); }; Percebam que o nome do "destination" segue a mesma lgica dos "lters d_maq113", pois o nal do IP termina com 113. Agora que j conguramos nosso lter e nosso destination, precisamos somente "ativar" a congurao com o parmetro log, no campo LOG adicione as seguintes linhas: log { source(log_redeinterna); lter(f_maq113); destination(d_maq113); }; Syslog-NG - Congurando um servidor de logs [... http://www.vivaolinux.com.br/artigos/impressor... 2 de 4 07-08-2013 11:35 log { source(log_redeinterna); lter(f_maq115_ssh); destination(d_maq115_ssh); }; Salve o arquivo e reinicie o Syslog-ng: # /etc/init.d/syslog-ng restart Congurao dos clientes Depois deste pequeno trabalho, precisamos congurar nossos clientes (maq113 e maq115_ssh) Instale o Syslog-ng no cliente, assim como no servidor: # aptitude install syslog-ng Agora, vamos congurar nosso cliente: # cd /etc/syslog-ng # pico syslog-ng Adicione a linha abaixo no campo DESTINATION: destination servidor_log { udp("192.168.0.10" port(514)); }; Bem simples, no ? Esta linha onde acontece a mgica, ela manda uma cpia de todos os logs para o nosso servidor de logs, que o IP "192.168.0.10" na porta padro 514. Se voc no quiser que ele mande todos os logs para o servidor, voc pode criar um ltro especicando o que quer mandar, como mostrado a baixo: lter f_servidor_log { level(info, warn, err, crit) and facility(auth, authpriv, daemon, mail, news, cron, user); }; Desse jeito, voc pode personalizar de acordo com sua necessidade, depois s adicionar a linha de log abaixo no campo LOG do syslog-ng: log { source(src); destination(servidor_log); }; Syslog-NG - Congurando um servidor de logs [... http://www.vivaolinux.com.br/artigos/impressor... 3 de 4 07-08-2013 11:35 Reinicie o Syslog-ng: # /etc/init.d/syslog-ng restart Obs.: Siga as mesmas instrues nos demais clientes. Pronto, com isso que zemos, nosso servidor de log j est operando perfeitamente. Para testar a congurao, faa alguma operao na mquina cliente e verique se foi criado o arquivo de log no servidor. No prximo tutorial, iremos aprender como rotacionar os logs do servidor. Bem, isso pessoal. Espero ter ajudado, at a prxima!! Artigo previamente publicado em: Congurando um Servidor de Logs com Syslog-NG guiadoti.blogspot.com.br http://www.vivaolinux.com.br/artigo/SyslogNG-Congurando-um-servidor- de-logs Voltar para o site Syslog-NG - Congurando um servidor de logs [... http://www.vivaolinux.com.br/artigos/impressor... 4 de 4 07-08-2013 11:35