Centralizando logs de dispositivos Cisco com o Syslog-ng
Publicado por Andre Luiz Facina em 14/10/2008
[ Hits: 13.123 ]
Centralizando logs de dispositivos Cisco com o Syslog-ng
Abaixo segue a configuração do Cisco e do syslog-ng (muito simples).
Configurando o dispositivo Cisco
# configure terminal(config) logging xx.xx.xx.xx (onde o x é o ip da máquina Linux que receberá os logs)
Configurando o Syslog-ng
Edite o arquivo /etc/syslog-ng.conf e inclua as seguintes informações. Em algumas distribuições ele pode ficar em /etc/syslog-ng/syslog-ng.conf.# Troque o xx pelo ip do dispositivo cisco
source cisco1721 { udp(ip(xx.xx.xx.xx) port(514)); };
# Onde os logs serão armazenados
destination d_log_cisco { file("/var/log/cisco.log"); };
# Aplicando filtros nos logs
filter f_cisco_info { level(info); };
filter f_cisco_notice { level(notice); };
filter f_cisco_warn { level(warn); };
filter f_cisco_crit { level(crit); };
filter f_cisco_err { level(err); };
# Origem, filtro, destino
log { source(cisco1721); filter(f_cisco_info); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_notice); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_warn); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_crit); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_err); destination(d_log_cisco); };
#EOF
Pronto, dessa forma todos os eventos no dispositivo Cisco serão enviados ao Linux. Isso permite criar uma política de segurança onde todos os logs são armazenados em um computador central e que em casos de comprometimento de algum dispositivo, você ainda terá como identificar o invasor, exceto nos casos em que ele também comprometer a máquina de logs. =)
--
André Luiz Facina
Apt-cacher - Sistema de cache para pacotes DEB
AIX - Identificando portas abertas
MultiTail - Comando tail em múltiplos arquivos no Linux
Consertando o sistema de arquivos de seu OpenBSD 4.5
Proxy ENDIAN - Bloqueio de Conexões SSL (https)
Alterando a senha do usuário root com o comando sudo
Quebrando tudo: HPC com Cluster Debian e John The Ripper
Parabéns pelo artigo! Ele complementa o meu artigo sobre servidores de log!
Não sabia da flexibilidade do syslog-ng no caso de roteadores Cisco!
Abraços!
Por que cisco1721? Tem alguma necessidade de usar o '1721' ou pode ser qualquer nome? Obrigado. [=
Só Corrigindo: xx.xx.xx.xx trata-se do ip do servidor Syslog.
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.999 pts -
Fábio Berbert de Paula
2° lugar - 50.974 pts -
Buckminster
3° lugar - 17.458 pts -
Mauricio Ferrari
4° lugar - 15.479 pts -
Alberto Federman Neto.
5° lugar - 14.238 pts -
Diego Mendes Rodrigues
6° lugar - 13.457 pts -
Daniel Lara Souza
7° lugar - 12.851 pts -
edps
8° lugar - 10.867 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.717 pts -
Andre (pinduvoz)
10° lugar - 10.563 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
