Servidor de log no Debian com Syslog-ng
Quando falamos de segurança, também devemos nos preocupar com nossos logs. É recomendado que todos os logs sejam guardados por anos, pois neles podemos obter informações válidas, porém estas são válidas também para os crackers. Neste artigo utilizaremos o syslog-ng com uma interface web para armazenar o log de todos os servidores em um único servidor centralizado.
[ Hits: 72.957 ]
Por: Leonardo Damasceno em 27/05/2010 | Blog: https://techcraic.wordpress.com
Adaptando e configurando o banco MySQL
Vamos, editar o arquivo dbsetup.sql para então rodar ele no nosso banco MySQL. Ainda no diretório /var/www, acesse phpsyslog/scripts e abra o arquivo dbsetup.sql:
# vim dbsetup.sql
Agora procure pelas linhas:
Modifique onde tem "PW_HERE" para o password que você definiu na instalação do MySQL. Salve e feche o arquivo, então digite:
# mysql -u root -p < dbsetup.sql
Digite seu password de root do MySQL. Vamos editar também o arquivo syslog2mysql.sh, que é um script que grava os logs (fazendo um redirecionamento) no MySQL (já que o syslog-ng não faz isso diretamente e precisa de uma ajuda desse script):
# vim syslog2mysql.sh
Edite a linha:
mysql -u syslogfeeder --password=PW_HERE syslog < /var/log/mysql.pipe >/dev/null
Trocando PW_HERE pelo password do usuário root do banco:
Agora salve e feche. Vamos executar o script:
# ./syslog2mysql.sh &
# vim dbsetup.sql
Agora procure pelas linhas:
# create users
INSERT INTO user (Host, User, Password) VALUES ('localhost','sysloguser', password('PW_HERE'));
INSERT INTO db (Host, Db, User) VALUES ('localhost','syslog','sysloguser');
INSERT INTO user (Host, User, Password) VALUES ('localhost','syslogfeeder', password('PW_HERE'));
INSERT INTO db (Host, Db, User) VALUES ('localhost','syslog','syslogfeeder');
INSERT INTO user (Host, User, Password) VALUES ('localhost','syslogadmin',password('PW_HERE'));
INSERT INTO db (Host, Db, User) VALUES ('localhost','syslog','syslogadmin');
COMMIT;
FLUSH PRIVILEGES;
INSERT INTO user (Host, User, Password) VALUES ('localhost','sysloguser', password('PW_HERE'));
INSERT INTO db (Host, Db, User) VALUES ('localhost','syslog','sysloguser');
INSERT INTO user (Host, User, Password) VALUES ('localhost','syslogfeeder', password('PW_HERE'));
INSERT INTO db (Host, Db, User) VALUES ('localhost','syslog','syslogfeeder');
INSERT INTO user (Host, User, Password) VALUES ('localhost','syslogadmin',password('PW_HERE'));
INSERT INTO db (Host, Db, User) VALUES ('localhost','syslog','syslogadmin');
COMMIT;
FLUSH PRIVILEGES;
Modifique onde tem "PW_HERE" para o password que você definiu na instalação do MySQL. Salve e feche o arquivo, então digite:
# mysql -u root -p < dbsetup.sql
Digite seu password de root do MySQL. Vamos editar também o arquivo syslog2mysql.sh, que é um script que grava os logs (fazendo um redirecionamento) no MySQL (já que o syslog-ng não faz isso diretamente e precisa de uma ajuda desse script):
# vim syslog2mysql.sh
Edite a linha:
mysql -u syslogfeeder --password=PW_HERE syslog < /var/log/mysql.pipe >/dev/null
Trocando PW_HERE pelo password do usuário root do banco:
mysql -u syslogfeeder --password=SUA_SENHA syslog < /var/log/mysql.pipe >/dev/null
Agora salve e feche. Vamos executar o script:
# ./syslog2mysql.sh &
Páginas do artigo
1. Instalação dos requisitos2. Adaptando e configurando o banco MySQL
3. Configurando o Apache2
Outros artigos deste autor
Adicionando usuário no OpenLDAP
Segurança em seu Linux (parte 2)
Leitura recomendada
Verificação de integridade de arquivos - Ferramenta OSSEC
ANDRAX - Pentest usando o Android
PHLAK :: [P]rofessional [H]acker's [L]inux [A]ssault [K]it
Comentários
[1] Comentário enviado por silveriosr em 28/05/2010 - 10:29h
posto o arquivo dbsetup.sql, pois ao tentar executar ele dentro do meu mysql esta apresentand o seguinte erro
#ERROR 1046 (3D000) at line 1: No database selected
posto o arquivo dbsetup.sql, pois ao tentar executar ele dentro do meu mysql esta apresentand o seguinte erro
#ERROR 1046 (3D000) at line 1: No database selected
[2] Comentário enviado por jucaetico em 28/05/2010 - 11:24h
Amigo,
Consigo monitorar maquinas da familia Windows server com esse servidor de LOGs??
Obrigado!
Parabens pelo artigo.
Abraços
Amigo,
Consigo monitorar maquinas da familia Windows server com esse servidor de LOGs??
Obrigado!
Parabens pelo artigo.
Abraços
[3] Comentário enviado por brennoleto em 12/08/2010 - 05:46h
Amigo, sabe nos passar a configuração no cliente windows para enviar os logs remoto?
Abrasss!
Amigo, sabe nos passar a configuração no cliente windows para enviar os logs remoto?
Abrasss!
[4] Comentário enviado por leodamasceno em 12/08/2010 - 09:17h
Desculpe a demora para responder humano10 e brennoleto, mas existe um cliente para windows que envia as mensagens para o syslog, é chamado de Snare Agent.
Vocês podem dar uma olhada aqui: http://sial.org/howto/logging/syslog-ng/ na parte em que ele fala sobre o Syslog no Windows. :)
Download e informações sobre o Snare Agent: http://www.intersectalliance.com/projects/SnareWindows/
Um abraço.
Desculpe a demora para responder humano10 e brennoleto, mas existe um cliente para windows que envia as mensagens para o syslog, é chamado de Snare Agent.
Vocês podem dar uma olhada aqui: http://sial.org/howto/logging/syslog-ng/ na parte em que ele fala sobre o Syslog no Windows. :)
Download e informações sobre o Snare Agent: http://www.intersectalliance.com/projects/SnareWindows/
Um abraço.
[5] Comentário enviado por paulodeolindo em 11/01/2011 - 09:24h
Olá;
Sou iniciante no linux e não entendo muito de apache ou instalações por código fonte. Infelizmente, somente consigo executar os apt-get da vida.
Então, cheguei na parte deste tutorial, onde preciso restartar o apache e me retorna a seguinte mensagem:
#Restarting web server: apache2apache2: Coul not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName#
O que isso significa? Não arrisquei prosseguir daí. Podem me ajudar, por favor? Desde já, grato.
Olá;
Sou iniciante no linux e não entendo muito de apache ou instalações por código fonte. Infelizmente, somente consigo executar os apt-get da vida.
Então, cheguei na parte deste tutorial, onde preciso restartar o apache e me retorna a seguinte mensagem:
#Restarting web server: apache2apache2: Coul not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName#
O que isso significa? Não arrisquei prosseguir daí. Podem me ajudar, por favor? Desde já, grato.
[6] Comentário enviado por leodamasceno em 13/01/2011 - 11:58h
Olá paulodeolindo,
Isso na verdade não é um erro, é apenas um aviso pois você não definiu o campo ServerName lá no arquivo de configuração do apache, ai ele utiliza 127.0.1.1 para tal. Faça o seguinte:
sudo vim /etc/apache2/httpd.conf
Agora, insira:
ServerName localhost
Salve e saia, depois dê um restart no Apache:
sudo /etc/init.d/apache2 restart
Olá paulodeolindo,
Isso na verdade não é um erro, é apenas um aviso pois você não definiu o campo ServerName lá no arquivo de configuração do apache, ai ele utiliza 127.0.1.1 para tal. Faça o seguinte:
sudo vim /etc/apache2/httpd.conf
Agora, insira:
ServerName localhost
Salve e saia, depois dê um restart no Apache:
sudo /etc/init.d/apache2 restart
[7] Comentário enviado por paulodeolindo em 17/01/2011 - 09:17h
Obrigado Leonardo; consegui mesmo e a ferramenta já está em funcionamento; tenho uma dúvida, pois com essa ferramenta, estou praticamente iniciando minhas atividades Linux na empresa que estou trabalhando. Tenho uma pergunta: existe algum client para Servidores Windows para que estes também mandem os logs para nosso Servidor de Logs?
Obrigado Leonardo; consegui mesmo e a ferramenta já está em funcionamento; tenho uma dúvida, pois com essa ferramenta, estou praticamente iniciando minhas atividades Linux na empresa que estou trabalhando. Tenho uma pergunta: existe algum client para Servidores Windows para que estes também mandem os logs para nosso Servidor de Logs?
[8] Comentário enviado por leodamasceno em 17/01/2011 - 09:25h
paulodeolindo, você pode utilizar o Snare, veja:
http://www.syslog.org/logged/logging-windows-events-to-syslog-using-snare/
paulodeolindo, você pode utilizar o Snare, veja:
http://www.syslog.org/logged/logging-windows-events-to-syslog-using-snare/
[9] Comentário enviado por paulodeolindo em 18/01/2011 - 09:25h
Obrigado mais uma vez Leonardo; poxa... já estou sendo chato, mas preciso de mais um bizu seu; toda vez que preciso reiniciar o servidor de logs (pois está em teste), ele coleta logs apenas no modo texto, mas os dados não são exibidos no mysql; achei que rodando o script "syslog2mysql.sh &" resolveria, mas algo está errado e não são exibidos os logs na interface gráfica; tem idéia do que pode estar ocorrendo?
Desde já, grato.
Obrigado mais uma vez Leonardo; poxa... já estou sendo chato, mas preciso de mais um bizu seu; toda vez que preciso reiniciar o servidor de logs (pois está em teste), ele coleta logs apenas no modo texto, mas os dados não são exibidos no mysql; achei que rodando o script "syslog2mysql.sh &" resolveria, mas algo está errado e não são exibidos os logs na interface gráfica; tem idéia do que pode estar ocorrendo?
Desde já, grato.
[10] Comentário enviado por dimago em 24/11/2011 - 20:16h
Fala leo e demais amigos do VOL
Como está esta solução de syslog-ng + web? está bacana? tudo certo? Estava pensando em implementar para ver qual eh..
Voces possuem algum screenshot?
Obrigado e abs
Fala leo e demais amigos do VOL
Como está esta solução de syslog-ng + web? está bacana? tudo certo? Estava pensando em implementar para ver qual eh..
Voces possuem algum screenshot?
Obrigado e abs
[11] Comentário enviado por fabintexas em 22/07/2013 - 23:36h
Iai Leo, blz?
Gostaria de sua ajuda, pois está dando erro ao executar o script do php-syslog-ng ----> mysql -u root -p < dbsetup.sql
Segue o erro:
ERROR 1064 (42000) at line 11: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'TYPE=MyISAM' at line 14
Como posso proceder nesse caso?
Obrigado !!!
Iai Leo, blz?
Gostaria de sua ajuda, pois está dando erro ao executar o script do php-syslog-ng ----> mysql -u root -p < dbsetup.sql
Segue o erro:
ERROR 1064 (42000) at line 11: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'TYPE=MyISAM' at line 14
Como posso proceder nesse caso?
Obrigado !!!
[12] Comentário enviado por jsimas em 29/12/2014 - 23:06h
Boa noite, galera!
Estava seguindo o tutorial de vocês e está tudo dentro do que foi colocado no tutorial, mas ainda segue mostrando a mensagem abaixo:
A database connection problem was encountered.
Please check config/config.php to make sure everything is correct and make sure the MySQL server is up and running.
---
Já add a linha > AddType application/x-httpd-php .phtml .php <
Alterei as senhas do BD e do PHP;
Restartei serviços e até agora esse erro não sai. Alguém poderia por favor dá uma dica?
Boa noite, galera!
Estava seguindo o tutorial de vocês e está tudo dentro do que foi colocado no tutorial, mas ainda segue mostrando a mensagem abaixo:
A database connection problem was encountered.
Please check config/config.php to make sure everything is correct and make sure the MySQL server is up and running.
---
Já add a linha > AddType application/x-httpd-php .phtml .php <
Alterei as senhas do BD e do PHP;
Restartei serviços e até agora esse erro não sai. Alguém poderia por favor dá uma dica?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
O que é o THP na configuração de RAM do Linux e quando desabilitá-lo
Comparação entre os escalonadores BFQ e MQ-Deadline (acesso a disco) no Arch e Debian
Conciliando o uso da ZRAM e SWAP em disco na sua máquina
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Dicas
Como unir duas coleções de ROMs preservando as versões traduzidas (sem duplicatas)
Como instalar o Telegram Desktop no Ubuntu 24.04
Overclocking Permanente para Drastic no Miyoo Mini Plus
Problemas de chaves (/usr/share/keyrings) no Debian
Converter os repositórios Debian para o novo formato com as chaves
Tópicos
Programa simples pra cortar vídeos (7)
Instalação automatizada do Debian 12 em UEFI (1)
Browser/Placa de vídeo trava Ubuntu 22.04 (2)
Top 10 do mês
-
Xerxes
1° lugar - 66.266 pts -
Fábio Berbert de Paula
2° lugar - 38.707 pts -
Buckminster
3° lugar - 19.660 pts -
Mauricio Ferrari
4° lugar - 14.448 pts -
Sidnei Serra
5° lugar - 12.872 pts -
Alberto Federman Neto.
6° lugar - 12.708 pts -
Daniel Lara Souza
7° lugar - 11.803 pts -
edps
8° lugar - 11.784 pts -
Diego Mendes Rodrigues
9° lugar - 10.260 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.972 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
