Construindo um Log Server utilizando Linux, Unix e Windows
Neste artigo são apresentadas as ferramentas e as formas para se construir e gerenciar - de forma fácil e rápida - um logserver remoto para uma rede de computadores heterogênea.
[ Hits: 156.279 ]
Por: Rodrigo Pace de Barros em 29/11/2002
Utilizando o swatch
4 - Utilizando o swatch
"O primeiro passo para utilizar o swatch é saber o que se quer saber sobre os acontecimentos registrados pelos logs. O segundo passo é definir quais logs contém tais informações. O terceiro é determinar quais gatilhos definem informações críticas" - Lance Spitzner
Assim, tendo as informações geradas pelo log server em uma máquina segura, basta apenas sabermos quais informações serão analisadas e como iremos identificá-las.
A configuração a seguir reflete a busca por indícios de tentativas falhas de acesso de root e usuários comuns nos sistemas Linux/Unix da rede na qual está o log server.
# Arquivo swatchrc
#
# swatch -c /etc/swatchrc -t
# /var/log/messages
#
### Bad login attempts
watchfor /failed/
echo bold
mail addressess=root,subject=Failed Authentication
watchfor /su:/
echo bold
mail addresses=root,subject=Someone sued to root access
### Ignore this stuff
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
#
# swatch -c /etc/swatchrc -t
# /var/log/messages
#
### Bad login attempts
watchfor /failed/
echo bold
mail addressess=root,subject=Failed Authentication
watchfor /su:/
echo bold
mail addresses=root,subject=Someone sued to root access
### Ignore this stuff
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
A entrada watchfor indica o padrão a ser procurado nos logs a serem auditados. As
entradas entre barras "/" definem estes padrões. Portanto,
watchfor /failed/
faz com que quaisquer ocorrências de "failed" encontradas nos logs disparem uma determinada ação. Esta ação pode ser definida pelo sysadmin, e pode ser, por exemplo, o envio de um e-mail.
mail addresses=root,subject=Someone sued to root access
A entrada ignore indica quais entradas de logs devem ser desprezadas pelo swatch. Portanto, as entradas definidas em:
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
não serão consideradas pelo swatch.
Desta forma, os registros observados pelo syslogd, syslog-ng e NTSyslog serão armazenados no log server e analisados pelo swatch. Caso alguma entrada definida no arquivo swatchrc seja encontrada nos logs, as ações tomadas pelo sistema alertarão o administrador do sistema sobre a sua ocorrência.
watchfor /failed/
faz com que quaisquer ocorrências de "failed" encontradas nos logs disparem uma determinada ação. Esta ação pode ser definida pelo sysadmin, e pode ser, por exemplo, o envio de um e-mail.
mail addresses=root,subject=Someone sued to root access
A entrada ignore indica quais entradas de logs devem ser desprezadas pelo swatch. Portanto, as entradas definidas em:
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
não serão consideradas pelo swatch.
Desta forma, os registros observados pelo syslogd, syslog-ng e NTSyslog serão armazenados no log server e analisados pelo swatch. Caso alguma entrada definida no arquivo swatchrc seja encontrada nos logs, as ações tomadas pelo sistema alertarão o administrador do sistema sobre a sua ocorrência.
Páginas do artigo
1. Introdução2. Instalação do Log Server
3. Configuração do Log Server
4. Configurando os hosts da rede
5. Utilizando o swatch
6. Créditos e informações adicionais
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Como forçar alteração de senha de usuário no próximo login no Linux
Jails em SSH: Montando sistema de Shell Seguro
Comentários
[1] Comentário enviado por agk em 06/07/2004 - 14:10h
Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.
Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.
[2] Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h
Excelente artigo!!!, vou testar o procedimentos do artigo!!!
Excelente artigo!!!, vou testar o procedimentos do artigo!!!
[3] Comentário enviado por fliperbr em 19/03/2007 - 12:28h
Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:
destination loghost {
tcp("ipservidor" port(514));
};
log {
source(src);
destination(loghost);
};
Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:
destination loghost {
tcp("ipservidor" port(514));
};
log {
source(src);
destination(loghost);
};
[4] Comentário enviado por removido em 18/04/2007 - 10:41h
Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:
checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:
No package 'eventlog' found
Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.
Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.
dti-0319:/usr/src/syslog-ng-2.0rc4#
Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.
Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:
checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:
No package 'eventlog' found
Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.
Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.
dti-0319:/usr/src/syslog-ng-2.0rc4#
Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.
[5] Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h
Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,
log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };
como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?
O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts
Até mais.
Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,
log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };
como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?
O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts
Até mais.
[6] Comentário enviado por backfly em 17/01/2008 - 21:41h
Galera,
Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.
Alguem pode me ajudar, desde já agradeço.
Galera,
Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.
Alguem pode me ajudar, desde já agradeço.
[7] Comentário enviado por epgielow em 12/03/2008 - 17:44h
Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...
Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...
[8] Comentário enviado por epgielow em 12/03/2008 - 17:44h
+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)
+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)
[9] Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h
?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote:
?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote:
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Visualizar arquivos em formato markdown (ex.: README.md) pelo terminal
Dando - teoricamente - um gás no Gnome-Shell do Arch Linux
Como instalar o Google Cloud CLI no Ubuntu/Debian
Mantenha seu Sistema Leve e Rápido com a Limpeza do APT!
Procurando vídeos de YouTube pelo terminal e assistindo via mpv (2025)
Tópicos
Olha que maravilha, Arch no C2D 7400, 2GB de RAM, vídeo onboard e no G... (3)
Instalação de Ubuntu em SSD (interno) como se fosse um dispositivo ext... (1)
Top 10 do mês
-
Xerxes
1° lugar - 76.262 pts -
Fábio Berbert de Paula
2° lugar - 57.622 pts -
Mauricio Ferrari
3° lugar - 17.514 pts -
Daniel Lara Souza
4° lugar - 15.891 pts -
Buckminster
5° lugar - 15.135 pts -
Alberto Federman Neto.
6° lugar - 14.468 pts -
edps
7° lugar - 13.833 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 12.780 pts -
Diego Mendes Rodrigues
9° lugar - 12.449 pts -
Andre (pinduvoz)
10° lugar - 11.244 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
