Construindo um Log Server utilizando Linux, Unix e Windows

Neste artigo são apresentadas as ferramentas e as formas para se construir e gerenciar - de forma fácil e rápida - um logserver remoto para uma rede de computadores heterogênea.

[ Hits: 146.545 ]

Por: Rodrigo Pace de Barros em 29/11/2002


Utilizando o swatch



4 - Utilizando o swatch


"O primeiro passo para utilizar o swatch é saber o que se quer saber sobre os acontecimentos registrados pelos logs. O segundo passo é definir quais logs contém tais informações. O terceiro é determinar quais gatilhos definem informações críticas" - Lance Spitzner

Assim, tendo as informações geradas pelo log server em uma máquina segura, basta apenas sabermos quais informações serão analisadas e como iremos identificá-las.

A configuração a seguir reflete a busca por indícios de tentativas falhas de acesso de root e usuários comuns nos sistemas Linux/Unix da rede na qual está o log server.

# Arquivo swatchrc
#
# swatch -c /etc/swatchrc -t
# /var/log/messages
#
### Bad login attempts
watchfor /failed/
echo bold
mail addressess=root,subject=Failed Authentication

watchfor /su:/
echo bold
mail addresses=root,subject=Someone sued to root access


### Ignore this stuff
ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/
A entrada watchfor indica o padrão a ser procurado nos logs a serem auditados. As entradas entre barras "/" definem estes padrões. Portanto,

watchfor /failed/

faz com que quaisquer ocorrências de "failed" encontradas nos logs disparem uma determinada ação. Esta ação pode ser definida pelo sysadmin, e pode ser, por exemplo, o envio de um e-mail.

mail addresses=root,subject=Someone sued to root access

A entrada ignore indica quais entradas de logs devem ser desprezadas pelo swatch. Portanto, as entradas definidas em:

ignore /sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/

não serão consideradas pelo swatch.

Desta forma, os registros observados pelo syslogd, syslog-ng e NTSyslog serão armazenados no log server e analisados pelo swatch. Caso alguma entrada definida no arquivo swatchrc seja encontrada nos logs, as ações tomadas pelo sistema alertarão o administrador do sistema sobre a sua ocorrência.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação do Log Server
   3. Configuração do Log Server
   4. Configurando os hosts da rede
   5. Utilizando o swatch
   6. Créditos e informações adicionais
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Aprenda a capturar a página inicial de seus usuários

Bootando CDROM com o grub / lilo

A mitologia da imunidade a vírus no Linux

Gerenciamento de segurança da informação com open source (parte 1)

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)

  
Comentários
[1] Comentário enviado por agk em 06/07/2004 - 14:10h

Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática.

[2] Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h

Excelente artigo!!!, vou testar o procedimentos do artigo!!!

[3] Comentário enviado por fliperbr em 19/03/2007 - 12:28h

Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é:


destination loghost {
tcp("ipservidor" port(514));
};

log {
source(src);
destination(loghost);
};

[4] Comentário enviado por removido em 18/04/2007 - 10:41h

Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro:

checking pkg-config is at least version 0.9.0... yes
checking for GLIB... yes
checking for EVTLOG... configure: error: Package requirements (eventlog) were not met:

No package 'eventlog' found

Consider adjusting the PKG_CONFIG_PATH environment variable if you
installed software in a non-standard prefix.

Alternatively, you may set the environment variables EVTLOG_CFLAGS
and EVTLOG_LIBS to avoid the need to call pkg-config.
See the pkg-config man page for more details.

dti-0319:/usr/src/syslog-ng-2.0rc4#

Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar?
Muito obrigado.

[5] Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h

Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos,


log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); };

como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima?

O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts

Até mais.

[6] Comentário enviado por backfly em 17/01/2008 - 21:41h

Galera,

Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado.

Alguem pode me ajudar, desde já agradeço.

[7] Comentário enviado por epgielow em 12/03/2008 - 17:44h

Otimo tutorial!
estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ...


[8] Comentário enviado por epgielow em 12/03/2008 - 17:44h

+ com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :)

[9] Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h

?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote:


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts