Servidor para centralização de logs - Fedora 7

milton.paiva

Em redes de grande porte com muitos servidores, fica impossível dar a devida atenção a cada servidor. Para um melhor trabalho é interessante centralizar os logs em um único servidor e, a partir dele, gerar relatórios e comparativos.

[ Hits: 28.085 ]

Por: Milton Paiva Neto em 27/11/2007

0 0

Denuncie Favoritos Indicar Impressora

Dicas do que precisa ser feito

1) Ajuste o relógio de seus servidores utilizando o "ntp".

Dica: Editar o arquivo /etc/rc.d/rc.local e adicionar a linha:

/usr/sbin/ntpdate SERVIDOR_DE_HORA

2) No servidor de logs, para verificar se o syslog está funcionando, digitar:

# netstat -l

Será exibido:

(texto cortado)

udp        0      0 *:syslog                    *:*

(texto cortado)

Testando o funcionamento do serviço

1) Abra um shell no servidor centralizador de logs e digite:

# tail -f /var/log/secure

2) A partir de uma segunda máquina execute um ssh para uma máquina que esteja enviando seus logs para o servidor de logs. Será exibida uma mensagem parecida com essa no servidor de logs:

Nov 19 17:01:16 192.168.1.99 sshd[16244]: Connection closed by 10.83.1.199
Nov 19 17:03:17 monitoramento sshd[31815]: fatal: Read from socket failed: Connection reset by peer

Página anterior

Páginas do artigo

   1. Configurando um servidor concentrador de logs
   2. Máquinas clientes
   3. Dicas do que precisa ser feito

Outros artigos deste autor

PDC - Samba + LDAP - Fedora 7

Leitura recomendada

Cheops: uma ótima ferramenta de rede

Distribuição CAINE Linux para forense digital: em Live-CD, pendrive, máquina virtual ou direto em seu Ubuntu 10.04

EcryptFS - Usando, Desvendando suas Chaves e Recuperando seus Arquivos

Rootsh - Auditando/monitorando o root e demais usuários do GNU/Linux

VPN: IPSec vs SSL

Comentários

[1] Comentário enviado por y2h4ck em 27/11/2007 - 10:20h

Então cara muito bom seu tuto. Realmente a centralização de logs é bem facil para agilizar o processo de gerenciamento de eventos porém...
temos que ter em mente alguns riscos envolvidos nisto:

- 1) Os logs trafegam em Clear Text pela rede: Se alguem estiver sniffando a rede e pegar um auth.log passando pode conseguir informações uteis para um ataque mais perigoso.

- 2) Deve-se tomar cuidado com uso de hostnames em servers de syslog uma vez que se um atacante fizer um DNS Spoof na rede pode direcionar todos os logs para a maquina dele e ferrar com tudo.

Bom, workaround ? Pode-se criar um túnel com Stunnel e criptografar usando TLS/SSL dai fica mto bom =]

Como Admin seu artigo é 10, como segurança é 5 :P

Valeu. []s

0 0

[2] Comentário enviado por ALIBI em 29/11/2007 - 10:40h

Será que podem me ajudar, tenho vários servidores e gostaria de mandar os logs para o meu serverlog, mas quero saber se tem como mandar separado por maquinas

Ex:
Maquina 1
Maquina 2

Como faria isso ?

Obrigado

0 0

[3] Comentário enviado por gprendin em 07/04/2008 - 12:04h

Existe algum servidor centralizador de logs com uma interface amigável?

Obrigada

0 0

[4] Comentário enviado por milton.paiva em 23/03/2012 - 14:51h

Realmente http://www.vivaolinux.com.br/perfil/verPerfil.php?login=y2h4ck, os dados trafegam em clear text ! Então, como vc mesmo recomendou é melhor usar um tunnel criptografado para manter os dados à salvo.

0 0