Servidor para centralização de logs - Fedora 7

Em redes de grande porte com muitos servidores, fica impossível dar a devida atenção a cada servidor. Para um melhor trabalho é interessante centralizar os logs em um único servidor e, a partir dele, gerar relatórios e comparativos.

milton.paiva

Por Milton Paiva Neto em 27/11/2007

Hits: 28.264 Categoria: Linux Subcategoria: Segurança

Parte 3: Dicas do que precisa ser feito

1) Ajuste o relógio de seus servidores utilizando o "ntp".

Dica: Editar o arquivo /etc/rc.d/rc.local e adicionar a linha:

/usr/sbin/ntpdate SERVIDOR_DE_HORA

2) No servidor de logs, para verificar se o syslog está funcionando, digitar:

# netstat -l

Será exibido:

(texto cortado)

udp        0      0 *:syslog                    *:*

(texto cortado)

Testando o funcionamento do serviço

1) Abra um shell no servidor centralizador de logs e digite:

# tail -f /var/log/secure

2) A partir de uma segunda máquina execute um ssh para uma máquina que esteja enviando seus logs para o servidor de logs. Será exibida uma mensagem parecida com essa no servidor de logs:

Nov 19 17:01:16 192.168.1.99 sshd[16244]: Connection closed by 10.83.1.199
Nov 19 17:03:17 monitoramento sshd[31815]: fatal: Read from socket failed: Connection reset by peer

Páginas do artigo

   1. Configurando um servidor concentrador de logs
   2. Máquinas clientes
   3. Dicas do que precisa ser feito

Outros artigos deste autor

PDC - Samba + LDAP - Fedora 7

Leitura recomendada

Navegador Blindado FeniX Linux

Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)

Entendendo SQL Injection

Backup de sua instalação em .iso bootável

Autenticação por desafio e resposta no SSH

Comentários

#1 Comentário enviado por y2h4ck em 27/11/2007 - 10:20h

Então cara muito bom seu tuto. Realmente a centralização de logs é bem facil para agilizar o processo de gerenciamento de eventos porém...
temos que ter em mente alguns riscos envolvidos nisto:

- 1) Os logs trafegam em Clear Text pela rede: Se alguem estiver sniffando a rede e pegar um auth.log passando pode conseguir informações uteis para um ataque mais perigoso.

- 2) Deve-se tomar cuidado com uso de hostnames em servers de syslog uma vez que se um atacante fizer um DNS Spoof na rede pode direcionar todos os logs para a maquina dele e ferrar com tudo.

Bom, workaround ? Pode-se criar um túnel com Stunnel e criptografar usando TLS/SSL dai fica mto bom =]

Como Admin seu artigo é 10, como segurança é 5 :P

Valeu. []s

#2 Comentário enviado por ALIBI em 29/11/2007 - 10:40h

Será que podem me ajudar, tenho vários servidores e gostaria de mandar os logs para o meu serverlog, mas quero saber se tem como mandar separado por maquinas

Ex:
Maquina 1
Maquina 2

Como faria isso ?

Obrigado

#3 Comentário enviado por gprendin em 07/04/2008 - 12:04h

Existe algum servidor centralizador de logs com uma interface amigável?

Obrigada

#4 Comentário enviado por milton.paiva em 23/03/2012 - 14:51h

Realmente http://www.vivaolinux.com.br/perfil/verPerfil.php?login=y2h4ck, os dados trafegam em clear text ! Então, como vc mesmo recomendou é melhor usar um tunnel criptografado para manter os dados à salvo.