Construindo um Log Server utilizando Linux, Unix e Windows

Neste artigo são apresentadas as ferramentas e as formas para se construir e gerenciar - de forma fácil e rápida - um logserver remoto para uma rede de computadores heterogênea.

[ Hits: 156.279 ]

Por: Rodrigo Pace de Barros em 29/11/2002


Utilizando o swatch



4 - Utilizando o swatch


"O primeiro passo para utilizar o swatch é saber o que se quer saber sobre os acontecimentos registrados pelos logs. O segundo passo é definir quais logs contém tais informações. O terceiro é determinar quais gatilhos definem informações críticas" - Lance Spitzner

Assim, tendo as informações geradas pelo log server em uma máquina segura, basta apenas sabermos quais informações serão analisadas e como iremos identificá-las.

A configuração a seguir reflete a busca por indícios de tentativas falhas de acesso de root e usuários comuns nos sistemas Linux/Unix da rede na qual está o log server.

# Arquivo swatchrc
#
# swatch -c /etc/swatchrc -t
# /var/log/messages
#
### Bad login attempts
watchfor /failed/
echo bold
mail addressess=root,subject=Failed Authentication

watchfor /su:/
echo bold
mail addresses=root,subject=Someone sued to root access


### Ignore this stuff
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
A entrada watchfor indica o padrão a ser procurado nos logs a serem auditados. As entradas entre barras "/" definem estes padrões. Portanto,

watchfor /failed/

faz com que quaisquer ocorrências de "failed" encontradas nos logs disparem uma determinada ação. Esta ação pode ser definida pelo sysadmin, e pode ser, por exemplo, o envio de um e-mail.

mail addresses=root,subject=Someone sued to root access

A entrada ignore indica quais entradas de logs devem ser desprezadas pelo swatch. Portanto, as entradas definidas em:

ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/

não serão consideradas pelo swatch.

Desta forma, os registros observados pelo syslogd, syslog-ng e NTSyslog serão armazenados no log server e analisados pelo swatch. Caso alguma entrada definida no arquivo swatchrc seja encontrada nos logs, as ações tomadas pelo sistema alertarão o administrador do sistema sobre a sua ocorrência.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação do Log Server
   3. Configuração do Log Server
   4. Configurando os hosts da rede
   5. Utilizando o swatch
   6. Créditos e informações adicionais
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Como forçar alteração de senha de usuário no próximo login no Linux

Vírus em Linux?

Criando um repositório criptografado de dados com Cryptsetup (dm-crypt) sem (re)particionamento do HD

Instalação do Nessus 3.0

Jails em SSH: Montando sistema de Shell Seguro

  
Comentários
[1] Comentário enviado por agk em 06/07/2004 - 14:10h

Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.

[2] Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h

Excelente artigo!!!, vou testar o procedimentos do artigo!!!

[3] Comentário enviado por fliperbr em 19/03/2007 - 12:28h

Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:


destination loghost {
tcp("ipservidor" port(514));
};

log {
source(src);
destination(loghost);
};

[4] Comentário enviado por removido em 18/04/2007 - 10:41h

Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:

checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:

No package 'eventlog' found

Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.

Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.

dti-0319:/usr/src/syslog-ng-2.0rc4#

Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.

[5] Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h

Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,


log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };

como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?

O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts

Até mais.

[6] Comentário enviado por backfly em 17/01/2008 - 21:41h

Galera,

Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.

Alguem pode me ajudar, desde já agradeço.

[7] Comentário enviado por epgielow em 12/03/2008 - 17:44h

Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...


[8] Comentário enviado por epgielow em 12/03/2008 - 17:44h

+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)

[9] Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h

?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote:


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts