3 - Configurando os hosts da rede

Em quaisquer dos Sistemas Operacionais utilizados os registros de auditoria observados são registrados em determinados diretórios e arquivos, de acordo com os arquivos de configuração neles disponíveis.

Para a construção do log server, não será necessária a instalação do syslog-ng em todas as máquinas monitoradas. Em sistemas Linux/Unix, o próprio syslogd pode ser utilizado, através da configuração do arquivo /etc/syslog.conf. Em sistemas Windows, será necessária a instalação do NTSyslog.

3.1 - Configurando o arquivo /etc/syslog.conf nativo de sistemas Linux/Unix

Para que os logs gerados pelo sistema sejam enviados para o log server, basta incluir uma linha no arquivo /etc/syslog.conf. Esta entrada deverá conter as combinações desejadas de facilities e priorities para a geração de logs do daemon do syslog.

O arquivo /etc/hosts das máquinas que enviarão os logs para o log server deverá conter o registro necessário para reconhecer a máquina do log server através do seu hostname.

A indicação de loghost deve ser alterada da seguinte forma:

3.2 - Configurando máquinas com Windows

Máquinas utilizando o Sistema Operacional Windows também podem enviar os logs gerados pelo sistema para o log server. Para tal, será necessária a instalação do software NTSyslog.

Com este software, é possível a definição de um log server remoto para o qual o Windows irá enviar os registros obtidos.

Para a sua instalação, basta executar os seguintes passos:

1. Copiar o arquivo NTSyslog.exe para o diretório c:\Windows\system32\. Assim ela será executada como um serviço do sistema.

2. Executar o comando:

NTSyslog -install

Uma ferramenta gráfica - a NTSyslogCtrl - pode ser utilizada para configurar e definir quais tipos de mensagens serão monitoradas e quais serão as priorities utilizadas para cada uma delas.

3. Para acessá-la, basta executar o arquivo NTSyslogCtrl.exe (onde quer que ele esteja):

NTSyslogCtrl

Com esta ferramenta é possível identificar as priorities e facilities de acordo com os logs gerados pelo sistema. Desta forma, cada evento obtido poderá ser identificado de acordo com o processo que o gerou.

O NTSyslog pode ser configurado para gerar os logs de acordo com a tabela de facilities e priorities abaixo:

Facility: (0) kernel (12) ntp (1) user (13) log audit (2) mail (14) log alert (3) system (15) clock 2 (4) security/auth1 (16) local 0 (5) syslog (17) local 1 (6) line printer (18) local 2 (7) news (19) local 3 (8) uucp (20) local 4 (9) clock 1 (21) local 5 (10) security/auth2 (22) local 6 (11) ftp (23) local 7 O valor default para as configurações do NTSyslog é user.alert. Para que as alterações feitas na configuração tenham efeito, o serviço do NTSyslog deve ser reiniciado. O NTSyslog também pode ser configurado via registro do Windows. Porém, o uso da ferramenta NTSyslogCtrl elimina esta necessidade. Após configuradas todas as máquinas, o sistema do log server irá começar a registrar as ocorrências enviadas pelos sistemas remotos. Porém, para ser bem utilizada, esta informação terá que ser bem tratada e analisada. Uma boa ferramenta para a análise dos logs chama-se swatch. Página anterior     Próxima página Páginas do artigo    1. Introdução    2. Instalação do Log Server    3. Configuração do Log Server    4. Configurando os hosts da rede    5. Utilizando o swatch    6. Créditos e informações adicionais Outros artigos deste autor Nenhum artigo encontrado. Leitura recomendada Vazamento de informações vitais via "HP Operations Manager Perfd" Usuário especial para desligar servidores Linux Política de Segurança para Dispositivos Móveis Mudança de hábito: autenticando usuários em base de dados MySQL Forense em Máquinas Virtuais    Comentários [1] Comentário enviado por agk em 06/07/2004 - 14:10h Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática. 0 0 × Editar post Mensagem Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática. Gravar [2] Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h Excelente artigo!!!, vou testar o procedimentos do artigo!!! 0 0 × Editar post Mensagem Excelente artigo!!!, vou testar o procedimentos do artigo!!! Gravar [3] Comentário enviado por fliperbr em 19/03/2007 - 12:28h Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é: destination loghost { tcp("ipservidor" port(514)); }; log { source(src); destination(loghost); }; 0 0 × Editar post Mensagem Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é: destination loghost { tcp("ipservidor" port(514)); }; log { source(src); destination(loghost); }; Gravar [4] Comentário enviado por removido em 18/04/2007 - 10:41h Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro: checking pkg-config is at least version 0.9.0... yes checking for GLIB... yes checking for EVTLOG... configure: error: Package requirements (eventlog) were not met: No package 'eventlog' found Consider adjusting the PKG_CONFIG_PATH environment variable if you installed software in a non-standard prefix. Alternatively, you may set the environment variables EVTLOG_CFLAGS and EVTLOG_LIBS to avoid the need to call pkg-config. See the pkg-config man page for more details. dti-0319:/usr/src/syslog-ng-2.0rc4# Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar? Muito obrigado. 0 0 × Editar post Mensagem Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro: checking pkg-config is at least version 0.9.0... yes checking for GLIB... yes checking for EVTLOG... configure: error: Package requirements (eventlog) were not met: No package 'eventlog' found Consider adjusting the PKG_CONFIG_PATH environment variable if you installed software in a non-standard prefix. Alternatively, you may set the environment variables EVTLOG_CFLAGS and EVTLOG_LIBS to avoid the need to call pkg-config. See the pkg-config man page for more details. dti-0319:/usr/src/syslog-ng-2.0rc4# Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar? Muito obrigado. Gravar [5] Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos, log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); }; como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima? O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts Até mais. 0 0 × Editar post Mensagem Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos, log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); }; como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima? O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts Até mais. Gravar [6] Comentário enviado por backfly em 17/01/2008 - 21:41h Galera, Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado. Alguem pode me ajudar, desde já agradeço. 0 0 × Editar post Mensagem Galera, Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado. Alguem pode me ajudar, desde já agradeço. Gravar [7] Comentário enviado por epgielow em 12/03/2008 - 17:44h Otimo tutorial! estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ... 0 0 × Editar post Mensagem Otimo tutorial! estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ... Gravar [8] Comentário enviado por epgielow em 12/03/2008 - 17:44h + com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :) 0 0 × Editar post Mensagem + com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :) Gravar [9] Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h ?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote: 0 0 × Editar post Mensagem ?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote: Gravar Contribuir com comentário Enviar Patrocínio Site hospedado pelo provedor RedeHost. Destaques Agora temos uma assistente virtual no fórum!!! (252) Artigos Conhecendo o openSUSE Kalpa IA Turbina o Desktop Linux enquanto distros renovam forças Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator) Linux em 2025: Segurança prática para o usuário Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado Dicas Atualizando o Fedora 42 para 43 Como saber se o seu e-mail já teve a senha vazada? Como descobrir se a sua senha já foi vazada na internet? Como instalar o repositório do DBeaver no Ubuntu Como instalar o Plex Media Server no Ubuntu Tópicos E aí? O Warsaw já está funcionando no Debian 13? [RESOLVIDO] (15) Secure boot, artigo interessante, nada técnico. (4) copiar library para diretorio /usr/share/..... su com Falha na a... (1) Problema em SSD ao dar boot LinuxMint LMDE FAYE 64 (3) Instalação dualboot Windows 11 e Debian 13 (29) Top 10 do mês Xerxes 1° lugar - 117.926 pts Fábio Berbert de Paula 2° lugar - 88.410 pts Alberto Federman Neto. 3° lugar - 26.225 pts Mauricio Ferrari 4° lugar - 25.091 pts edps 5° lugar - 23.886 pts Alessandro de Oliveira Faria (A.K.A. CABELO) 6° lugar - 23.095 pts Buckminster 7° lugar - 22.094 pts Daniel Lara Souza 8° lugar - 20.605 pts Andre (pinduvoz) 9° lugar - 19.166 pts Diego Mendes Rodrigues 10° lugar - 16.801 pts Scripts [Shell Script] Task Manager para Terminal [Shell Script] Atualizar Debian versão 2.0 [Shell Script] fuckdrive - zerador de unidades [Shell Script] Script para atualizar o Debian 13 [Shell Script] Script para teste de THP no sistema A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda. FAQ - Perguntas frequentes Estatísticas do site Equipe de moderadores Membros da comunidade Contato Política de privacidade Quem somos Termos de uso Site hospedado por: Severity: (0) emergency (4) warning (1) alert (5) notice (2) critical (6) information (3) error (7) debug