Construindo um Log Server utilizando Linux, Unix e Windows
Neste artigo são apresentadas as ferramentas e as formas para se construir e gerenciar - de forma fácil e rápida - um logserver remoto para uma rede de computadores heterogênea.
[ Hits: 146.545 ]
Por: Rodrigo Pace de Barros em 29/11/2002
Utilizando o swatch
4 - Utilizando o swatch
"O primeiro passo para utilizar o swatch é saber o que se quer saber sobre os acontecimentos registrados pelos logs. O segundo passo é definir quais logs contém tais informações. O terceiro é determinar quais gatilhos definem informações críticas" - Lance Spitzner
Assim, tendo as informações geradas pelo log server em uma máquina segura, basta apenas sabermos quais informações serão analisadas e como iremos identificá-las.
A configuração a seguir reflete a busca por indícios de tentativas falhas de acesso de root e usuários comuns nos sistemas Linux/Unix da rede na qual está o log server.
# Arquivo swatchrc
#
# swatch -c /etc/swatchrc -t
# /var/log/messages
#
### Bad login attempts
watchfor /failed/
echo bold
mail addressess=root,subject=Failed Authentication
watchfor /su:/
echo bold
mail addresses=root,subject=Someone sued to root access
### Ignore this stuff
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
#
# swatch -c /etc/swatchrc -t
# /var/log/messages
#
### Bad login attempts
watchfor /failed/
echo bold
mail addressess=root,subject=Failed Authentication
watchfor /su:/
echo bold
mail addresses=root,subject=Someone sued to root access
### Ignore this stuff
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
A entrada watchfor indica o padrão a ser procurado nos logs a serem auditados. As
entradas entre barras "/" definem estes padrões. Portanto,
watchfor /failed/
faz com que quaisquer ocorrências de "failed" encontradas nos logs disparem uma determinada ação. Esta ação pode ser definida pelo sysadmin, e pode ser, por exemplo, o envio de um e-mail.
mail addresses=root,subject=Someone sued to root access
A entrada ignore indica quais entradas de logs devem ser desprezadas pelo swatch. Portanto, as entradas definidas em:
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
não serão consideradas pelo swatch.
Desta forma, os registros observados pelo syslogd, syslog-ng e NTSyslog serão armazenados no log server e analisados pelo swatch. Caso alguma entrada definida no arquivo swatchrc seja encontrada nos logs, as ações tomadas pelo sistema alertarão o administrador do sistema sobre a sua ocorrência.
watchfor /failed/
faz com que quaisquer ocorrências de "failed" encontradas nos logs disparem uma determinada ação. Esta ação pode ser definida pelo sysadmin, e pode ser, por exemplo, o envio de um e-mail.
mail addresses=root,subject=Someone sued to root access
A entrada ignore indica quais entradas de logs devem ser desprezadas pelo swatch. Portanto, as entradas definidas em:
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
não serão consideradas pelo swatch.
Desta forma, os registros observados pelo syslogd, syslog-ng e NTSyslog serão armazenados no log server e analisados pelo swatch. Caso alguma entrada definida no arquivo swatchrc seja encontrada nos logs, as ações tomadas pelo sistema alertarão o administrador do sistema sobre a sua ocorrência.
Páginas do artigo
1. Introdução2. Instalação do Log Server
3. Configuração do Log Server
4. Configurando os hosts da rede
5. Utilizando o swatch
6. Créditos e informações adicionais
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Aprenda a capturar a página inicial de seus usuários
Bootando CDROM com o grub / lilo
A mitologia da imunidade a vírus no Linux
Gerenciamento de segurança da informação com open source (parte 1)
Comentários
[1] Comentário enviado por agk em 06/07/2004 - 14:10h
Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.
Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.
[2] Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h
Excelente artigo!!!, vou testar o procedimentos do artigo!!!
Excelente artigo!!!, vou testar o procedimentos do artigo!!!
[3] Comentário enviado por fliperbr em 19/03/2007 - 12:28h
Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:
destination loghost {
tcp("ipservidor" port(514));
};
log {
source(src);
destination(loghost);
};
Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:
destination loghost {
tcp("ipservidor" port(514));
};
log {
source(src);
destination(loghost);
};
[4] Comentário enviado por removido em 18/04/2007 - 10:41h
Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:
checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:
No package 'eventlog' found
Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.
Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.
dti-0319:/usr/src/syslog-ng-2.0rc4#
Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.
Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:
checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:
No package 'eventlog' found
Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.
Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.
dti-0319:/usr/src/syslog-ng-2.0rc4#
Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.
[5] Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h
Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,
log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };
como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?
O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts
Até mais.
Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,
log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };
como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?
O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts
Até mais.
[6] Comentário enviado por backfly em 17/01/2008 - 21:41h
Galera,
Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.
Alguem pode me ajudar, desde já agradeço.
Galera,
Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.
Alguem pode me ajudar, desde já agradeço.
[7] Comentário enviado por epgielow em 12/03/2008 - 17:44h
Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...
Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...
[8] Comentário enviado por epgielow em 12/03/2008 - 17:44h
+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)
+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)
[9] Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h
?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote:
?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote:
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Qu1cksc0pe - All-in-One Static Malware Analysis Tool
Instalação do Ventoy, programa para criar pendrives inicializáveis
Dicas
Instalando o balenaEtcher no Fedora 35
Placa de rede wireless chinesa dual band realtek-8812au
Resolução Antix Linux 19.4 para mais de 1024x768 em SIS 661/741/760
Tópicos
Quais são os tipos de pacotes que cada distro usa? (1)
Como criar script shell que vai gerar uma pasta com o nome que o usuar... (4)
Top 10 do mês
-
Xerxes
1° lugar - 67.891 pts -
Fábio Berbert de Paula
2° lugar - 59.876 pts -
Clodoaldo Santos
3° lugar - 50.150 pts -
Diego Mendes Rodrigues
4° lugar - 30.193 pts -
Mauricio Ferrari
5° lugar - 22.832 pts -
Daniel Lara Souza
6° lugar - 20.145 pts -
Lisandro Guerra
7° lugar - 17.649 pts -
Alberto Federman Neto.
8° lugar - 17.617 pts -
Robson Fernando Gomes
9° lugar - 14.772 pts -
edps
10° lugar - 14.116 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
