Servidor de log no Debian com Syslog-ng

Quando falamos de segurança, também devemos nos preocupar com nossos logs. É recomendado que todos os logs sejam guardados por anos, pois neles podemos obter informações válidas, porém estas são válidas também para os crackers. Neste artigo utilizaremos o syslog-ng com uma interface web para armazenar o log de todos os servidores em um único servidor centralizado.

[ Hits: 68.642 ]

Por: Leonardo Damasceno em 27/05/2010 | Blog: https://techcraic.wordpress.com


Instalação dos requisitos



Requisitos:
  • Ambiente LAMP (Linux, Apache, MySQL e PHP)
  • Syslog-ng
  • PHP-Syslog-ng

Eu utilizo o repositório oficial do Debian no Brasil:

deb http://ftp.br.debian.org/debian squeeze main contrib non-free

Caso não tenha esse repositório, aconselho adicionar ao seu sources.list. Comece instalando o ambiente LAMP:

# apt-get install apache2 mysql-server php5 php5-mysql

Defina sua senha para o banco e aguarde a configuração dos pacotes baixados.

Agora vamos instalar o syslog-ng:

# apt-get install syslog-ng

Precisamos baixar o Php-Syslog-ng, faça o download da versão desejada aqui:
Neste artigo utilizaremos a versão 2.8. Após feito o download, vamos descompactar o mesmo no diretório padrão do apache:

# tar -zxvf phpsyslogng-2.8.tar.gz -C /var/www

Então renomeie o diretório descompactado para phpsyslog:

# cd /var/www
# mv phpsyslogng-2.8 phpsyslog


    Próxima página

Páginas do artigo
   1. Instalação dos requisitos
   2. Adaptando e configurando o banco MySQL
   3. Configurando o Apache2
Outros artigos deste autor

Segurança em seu Linux (parte 2)

PFSense com Snort

Adicionando usuário no OpenLDAP

Desmistificando o GNU/Linux

Segurança em seu Linux

Leitura recomendada

Bloqueio de Países com IPTables

Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux

Distribuição CAINE Linux para forense digital: em Live-CD, pendrive, máquina virtual ou direto em seu Ubuntu 10.04

Cliente "automágico" Linux logando no domínio NT/Samba

Segurança SSH com DenyHosts

  
Comentários
[1] Comentário enviado por silveriosr em 28/05/2010 - 10:29h

posto o arquivo dbsetup.sql, pois ao tentar executar ele dentro do meu mysql esta apresentand o seguinte erro

#ERROR 1046 (3D000) at line 1: No database selected

[2] Comentário enviado por jucaetico em 28/05/2010 - 11:24h

Amigo,

Consigo monitorar maquinas da familia Windows server com esse servidor de LOGs??

Obrigado!

Parabens pelo artigo.

Abraços

[3] Comentário enviado por brennoleto em 12/08/2010 - 05:46h

Amigo, sabe nos passar a configuração no cliente windows para enviar os logs remoto?
Abrasss!

[4] Comentário enviado por leodamasceno em 12/08/2010 - 09:17h

Desculpe a demora para responder humano10 e brennoleto, mas existe um cliente para windows que envia as mensagens para o syslog, é chamado de Snare Agent.

Vocês podem dar uma olhada aqui: http://sial.org/howto/logging/syslog-ng/ na parte em que ele fala sobre o Syslog no Windows. :)

Download e informações sobre o Snare Agent: http://www.intersectalliance.com/projects/SnareWindows/


Um abraço.

[5] Comentário enviado por paulodeolindo em 11/01/2011 - 09:24h

Olá;
Sou iniciante no linux e não entendo muito de apache ou instalações por código fonte. Infelizmente, somente consigo executar os apt-get da vida.
Então, cheguei na parte deste tutorial, onde preciso restartar o apache e me retorna a seguinte mensagem:

#Restarting web server: apache2apache2: Coul not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName#

O que isso significa? Não arrisquei prosseguir daí. Podem me ajudar, por favor? Desde já, grato.

[6] Comentário enviado por leodamasceno em 13/01/2011 - 11:58h

Olá paulodeolindo,
Isso na verdade não é um erro, é apenas um aviso pois você não definiu o campo ServerName lá no arquivo de configuração do apache, ai ele utiliza 127.0.1.1 para tal. Faça o seguinte:

sudo vim /etc/apache2/httpd.conf

Agora, insira:

ServerName localhost

Salve e saia, depois dê um restart no Apache:

sudo /etc/init.d/apache2 restart

[7] Comentário enviado por paulodeolindo em 17/01/2011 - 09:17h

Obrigado Leonardo; consegui mesmo e a ferramenta já está em funcionamento; tenho uma dúvida, pois com essa ferramenta, estou praticamente iniciando minhas atividades Linux na empresa que estou trabalhando. Tenho uma pergunta: existe algum client para Servidores Windows para que estes também mandem os logs para nosso Servidor de Logs?

[8] Comentário enviado por leodamasceno em 17/01/2011 - 09:25h

paulodeolindo, você pode utilizar o Snare, veja:

http://www.syslog.org/logged/logging-windows-events-to-syslog-using-snare/

[9] Comentário enviado por paulodeolindo em 18/01/2011 - 09:25h

Obrigado mais uma vez Leonardo; poxa... já estou sendo chato, mas preciso de mais um bizu seu; toda vez que preciso reiniciar o servidor de logs (pois está em teste), ele coleta logs apenas no modo texto, mas os dados não são exibidos no mysql; achei que rodando o script "syslog2mysql.sh &" resolveria, mas algo está errado e não são exibidos os logs na interface gráfica; tem idéia do que pode estar ocorrendo?
Desde já, grato.

[10] Comentário enviado por dimago em 24/11/2011 - 20:16h

Fala leo e demais amigos do VOL

Como está esta solução de syslog-ng + web? está bacana? tudo certo? Estava pensando em implementar para ver qual eh..

Voces possuem algum screenshot?

Obrigado e abs

[11] Comentário enviado por fabintexas em 22/07/2013 - 23:36h

Iai Leo, blz?

Gostaria de sua ajuda, pois está dando erro ao executar o script do php-syslog-ng ----> mysql -u root -p < dbsetup.sql

Segue o erro:

ERROR 1064 (42000) at line 11: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'TYPE=MyISAM' at line 14


Como posso proceder nesse caso?

Obrigado !!!

[12] Comentário enviado por jsimas em 29/12/2014 - 23:06h

Boa noite, galera!

Estava seguindo o tutorial de vocês e está tudo dentro do que foi colocado no tutorial, mas ainda segue mostrando a mensagem abaixo:

A database connection problem was encountered.
Please check config/config.php to make sure everything is correct and make sure the MySQL server is up and running.
---

Já add a linha > AddType application/x-httpd-php .phtml .php <
Alterei as senhas do BD e do PHP;
Restartei serviços e até agora esse erro não sai. Alguém poderia por favor dá uma dica?


Contribuir com comentário