Servidor para centralização de logs - Fedora 7

milton.paiva

Em redes de grande porte com muitos servidores, fica impossível dar a devida atenção a cada servidor. Para um melhor trabalho é interessante centralizar os logs em um único servidor e, a partir dele, gerar relatórios e comparativos.

[ Hits: 28.083 ]

Por: Milton Paiva Neto em 27/11/2007

0 0

Denuncie Favoritos Indicar Impressora

Configurando um servidor concentrador de logs

Em redes com muitos servidores, a tarefa de gerenciar os logs dos servidores fica complicada. Para resolver esse problema uma facilidade que pode ser utilizada é a centralização dos logs.

A técnica consiste em configurar uma máquina como servidor de logs e configurar o restante dos servidores para que seus logs sejam enviados para o servidor de logs.

A partir dessa centralização é possível obter-se muitas informações, inclusive informações comparativas, como por exemplo, saber qual servidor recebe mais acessos. Os arquivos de log podem ser analisados de forma mais clara com diversas ferramentas especializadas.

Outro benefício da centralização dos logs é a possibilidade de ter os logs das máquinas armazenados em uma outra máquina, pense na hipótese de uma "pessoa" invadir um servidor, o "invasor" invade o servidor e apaga todos os seus logs, como os logs são gravados automaticamente em um outro servidor esse "invasor" terá mais dificuldade para ocultar seus rastros.

Inicialização do servidor de logs

Inicialização do servidor centralizador de logs:

1) Desative, através do comando ntsysv, o serviço syslogd.

2) Digite:

# /etc/init.d/syslog stop

3) Digite o comando:

# /sbin/syslogd -r -m 0

4) Edite o arquivo rc.local:

# vi /etc/rc.d/rc.local

e adicione a linha:

/sbin/syslogd -r -m 0

Próxima página

Páginas do artigo

   1. Configurando um servidor concentrador de logs
   2. Máquinas clientes
   3. Dicas do que precisa ser feito

Outros artigos deste autor

PDC - Samba + LDAP - Fedora 7

Leitura recomendada

Metasploit Framework

Os 5 princípios básicos de segurança para empresas

SSH completo (passo a passo)

Arpwatch - Detecte em sua rede ataques de Arp Spoofing/Arp Poisoning

Filtragem de vírus com pop3 transparente: pop3vscan

Comentários

[1] Comentário enviado por y2h4ck em 27/11/2007 - 10:20h

Então cara muito bom seu tuto. Realmente a centralização de logs é bem facil para agilizar o processo de gerenciamento de eventos porém...
temos que ter em mente alguns riscos envolvidos nisto:

- 1) Os logs trafegam em Clear Text pela rede: Se alguem estiver sniffando a rede e pegar um auth.log passando pode conseguir informações uteis para um ataque mais perigoso.

- 2) Deve-se tomar cuidado com uso de hostnames em servers de syslog uma vez que se um atacante fizer um DNS Spoof na rede pode direcionar todos os logs para a maquina dele e ferrar com tudo.

Bom, workaround ? Pode-se criar um túnel com Stunnel e criptografar usando TLS/SSL dai fica mto bom =]

Como Admin seu artigo é 10, como segurança é 5 :P

Valeu. []s

0 0

[2] Comentário enviado por ALIBI em 29/11/2007 - 10:40h

Será que podem me ajudar, tenho vários servidores e gostaria de mandar os logs para o meu serverlog, mas quero saber se tem como mandar separado por maquinas

Ex:
Maquina 1
Maquina 2

Como faria isso ?

Obrigado

0 0

[3] Comentário enviado por gprendin em 07/04/2008 - 12:04h

Existe algum servidor centralizador de logs com uma interface amigável?

Obrigada

0 0

[4] Comentário enviado por milton.paiva em 23/03/2012 - 14:51h

Realmente http://www.vivaolinux.com.br/perfil/verPerfil.php?login=y2h4ck, os dados trafegam em clear text ! Então, como vc mesmo recomendou é melhor usar um tunnel criptografado para manter os dados à salvo.

0 0