3 - Configurando os hosts da rede

Em quaisquer dos Sistemas Operacionais utilizados os registros de auditoria observados são registrados em determinados diretórios e arquivos, de acordo com os arquivos de configuração neles disponíveis.

Para a construção do log server, não será necessária a instalação do syslog-ng em todas as máquinas monitoradas. Em sistemas Linux/Unix, o próprio syslogd pode ser utilizado, através da configuração do arquivo /etc/syslog.conf. Em sistemas Windows, será necessária a instalação do NTSyslog.

3.1 - Configurando o arquivo /etc/syslog.conf nativo de sistemas Linux/Unix

Para que os logs gerados pelo sistema sejam enviados para o log server, basta incluir uma linha no arquivo /etc/syslog.conf. Esta entrada deverá conter as combinações desejadas de facilities e priorities para a geração de logs do daemon do syslog.

O arquivo /etc/hosts das máquinas que enviarão os logs para o log server deverá conter o registro necessário para reconhecer a máquina do log server através do seu hostname.

A indicação de loghost deve ser alterada da seguinte forma:

3.2 - Configurando máquinas com Windows

Máquinas utilizando o Sistema Operacional Windows também podem enviar os logs gerados pelo sistema para o log server. Para tal, será necessária a instalação do software NTSyslog.

Com este software, é possível a definição de um log server remoto para o qual o Windows irá enviar os registros obtidos.

Para a sua instalação, basta executar os seguintes passos:

1. Copiar o arquivo NTSyslog.exe para o diretório c:\Windows\system32\. Assim ela será executada como um serviço do sistema.

2. Executar o comando:

NTSyslog -install

Uma ferramenta gráfica - a NTSyslogCtrl - pode ser utilizada para configurar e definir quais tipos de mensagens serão monitoradas e quais serão as priorities utilizadas para cada uma delas.

3. Para acessá-la, basta executar o arquivo NTSyslogCtrl.exe (onde quer que ele esteja):

NTSyslogCtrl

Com esta ferramenta é possível identificar as priorities e facilities de acordo com os logs gerados pelo sistema. Desta forma, cada evento obtido poderá ser identificado de acordo com o processo que o gerou.

O NTSyslog pode ser configurado para gerar os logs de acordo com a tabela de facilities e priorities abaixo:

Facility: (0) kernel (12) ntp (1) user (13) log audit (2) mail (14) log alert (3) system (15) clock 2 (4) security/auth1 (16) local 0 (5) syslog (17) local 1 (6) line printer (18) local 2 (7) news (19) local 3 (8) uucp (20) local 4 (9) clock 1 (21) local 5 (10) security/auth2 (22) local 6 (11) ftp (23) local 7 O valor default para as configurações do NTSyslog é user.alert. Para que as alterações feitas na configuração tenham efeito, o serviço do NTSyslog deve ser reiniciado. O NTSyslog também pode ser configurado via registro do Windows. Porém, o uso da ferramenta NTSyslogCtrl elimina esta necessidade. Após configuradas todas as máquinas, o sistema do log server irá começar a registrar as ocorrências enviadas pelos sistemas remotos. Porém, para ser bem utilizada, esta informação terá que ser bem tratada e analisada. Uma boa ferramenta para a análise dos logs chama-se swatch. Página anterior     Próxima página Páginas do artigo    1. Introdução    2. Instalação do Log Server    3. Configuração do Log Server    4. Configurando os hosts da rede    5. Utilizando o swatch    6. Créditos e informações adicionais Outros artigos deste autor Nenhum artigo encontrado. Leitura recomendada Instalando o antivírus BitDefender no Linux Segurança no Linux: Antivírus, Firewall, Wine - Mitos e Verdades Detectando vulnerabilidades com o Nessus EcryptFS - Usando, Desvendando suas Chaves e Recuperando seus Arquivos wpa_supplicant.conf - Configuração para WPA2-PSK    Comentários [1] Comentário enviado por agk em 06/07/2004 - 14:10h Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática. 0 0 × Editar post Mensagem Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática. Gravar [2] Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h Excelente artigo!!!, vou testar o procedimentos do artigo!!! 0 0 × Editar post Mensagem Excelente artigo!!!, vou testar o procedimentos do artigo!!! Gravar [3] Comentário enviado por fliperbr em 19/03/2007 - 12:28h Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é: destination loghost { tcp("ipservidor" port(514)); }; log { source(src); destination(loghost); }; 0 0 × Editar post Mensagem Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é: destination loghost { tcp("ipservidor" port(514)); }; log { source(src); destination(loghost); }; Gravar [4] Comentário enviado por removido em 18/04/2007 - 10:41h Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro: checking pkg-config is at least version 0.9.0... yes checking for GLIB... yes checking for EVTLOG... configure: error: Package requirements (eventlog) were not met: No package 'eventlog' found Consider adjusting the PKG_CONFIG_PATH environment variable if you installed software in a non-standard prefix. Alternatively, you may set the environment variables EVTLOG_CFLAGS and EVTLOG_LIBS to avoid the need to call pkg-config. See the pkg-config man page for more details. dti-0319:/usr/src/syslog-ng-2.0rc4# Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar? Muito obrigado. 0 0 × Editar post Mensagem Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro: checking pkg-config is at least version 0.9.0... yes checking for GLIB... yes checking for EVTLOG... configure: error: Package requirements (eventlog) were not met: No package 'eventlog' found Consider adjusting the PKG_CONFIG_PATH environment variable if you installed software in a non-standard prefix. Alternatively, you may set the environment variables EVTLOG_CFLAGS and EVTLOG_LIBS to avoid the need to call pkg-config. See the pkg-config man page for more details. dti-0319:/usr/src/syslog-ng-2.0rc4# Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar? Muito obrigado. Gravar [5] Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos, log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); }; como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima? O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts Até mais. 0 0 × Editar post Mensagem Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos, log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); }; como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima? O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts Até mais. Gravar [6] Comentário enviado por backfly em 17/01/2008 - 21:41h Galera, Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado. Alguem pode me ajudar, desde já agradeço. 0 0 × Editar post Mensagem Galera, Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado. Alguem pode me ajudar, desde já agradeço. Gravar [7] Comentário enviado por epgielow em 12/03/2008 - 17:44h Otimo tutorial! estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ... 0 0 × Editar post Mensagem Otimo tutorial! estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ... Gravar [8] Comentário enviado por epgielow em 12/03/2008 - 17:44h + com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :) 0 0 × Editar post Mensagem + com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :) Gravar [9] Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h ?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote: 0 0 × Editar post Mensagem ?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote: Gravar Contribuir com comentário Enviar Patrocínio Site hospedado pelo provedor RedeHost. Destaques Agora temos uma assistente virtual no fórum!!! (246) Links importantes de usuários do VOL (3) Artigos Melhorando o tempo de boot do Fedora e outras distribuições Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46 E a guerra contra bots continua Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China). Dicas Instalando o FreeOffice no LMDE 6 Anki: Remover Tags de Estilo HTML de Todas as Cartas Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE Instalar IRPF 2024 no Linux Instalando Google Chrome no LMDE 6 Tópicos tela suja [RESOLVIDO] (2) Terminal não funciona (6) até queria, mas........ (0) material de assembly x64 [RESOLVIDO] (2) Backdoor no Linux (55) Top 10 do mês Xerxes 1° lugar - 70.763 pts Fábio Berbert de Paula 2° lugar - 57.903 pts Clodoaldo Santos 3° lugar - 43.368 pts Buckminster 4° lugar - 23.848 pts Sidnei Serra 5° lugar - 22.996 pts Daniel Lara Souza 6° lugar - 17.274 pts Mauricio Ferrari 7° lugar - 17.293 pts Alberto Federman Neto. 8° lugar - 17.247 pts Diego Mendes Rodrigues 9° lugar - 15.941 pts edps 10° lugar - 14.466 pts Scripts [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse [Shell Script] Script para criar certificados de forma automatizada no OpenVpn [Shell Script] Conversor de vídeo com opção de legenda [C/C++] BRT - Bulk Renaming Tool [Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda. FAQ - Perguntas frequentes Estatísticas do site Equipe de moderadores Membros da comunidade Anuncie Contato Política de privacidade Quem somos Termos de uso Site hospedado por: Severity: (0) emergency (4) warning (1) alert (5) notice (2) critical (6) information (3) error (7) debug