Servidor para centralização de logs - Fedora 7

Em redes de grande porte com muitos servidores, fica impossível dar a devida atenção a cada servidor. Para um melhor trabalho é interessante centralizar os logs em um único servidor e, a partir dele, gerar relatórios e comparativos.

[ Hits: 25.463 ]

Por: Milton Paiva Neto em 27/11/2007


Máquinas clientes



Altere o arquivo /etc/syslogd.conf adicionando um "@" seguido do endereço IP do servidor que centralizará os logs.

Exemplo de um /etc/syslogd.conf:

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*       /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

*.info;mail.none;authpriv.none;cron.none                @IP_DO_SEU_SERVIDOR

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure
authpriv.*                                              @IP_DO_SEU_SERVIDOR

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog
mail.*                                                  @IP_DO_SEU_SERVIDOR

# Log cron stuff
cron.*                                                  /var/log/cron
cron.*                                                  @IP_DO_SEU_SERVIDOR

# Everybody gets emergency messages
*.emerg                                                 *
*.emerg                                                 @IP_DO_SEU_SERVIDOR

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler
uucp,news.crit                                          @IP_DO_SEU_SERVIDOR

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log
local7.*                                                @IP_DO_SEU_SERVIDOR

Esses logs serão armazenados na máquina local e também serão enviados ao servidor de logs.

Agora reinicie o serviço "syslog" e acompanhe os logs chegando no servidor centralizador de logs.

Página anterior     Próxima página

Páginas do artigo
   1. Configurando um servidor concentrador de logs
   2. Máquinas clientes
   3. Dicas do que precisa ser feito
Outros artigos deste autor

PDC - Samba + LDAP - Fedora 7

Leitura recomendada

Enganando invasores com Honeyperl

Aquisição Estática de Dados em Computação Forense

Bootando CDROM com o grub / lilo

Alta disponibilidade com IP compartilhado - UCARP

Análise sobre políticas de segurança da informação

  
Comentários
[1] Comentário enviado por y2h4ck em 27/11/2007 - 10:20h

Então cara muito bom seu tuto. Realmente a centralização de logs é bem facil para agilizar o processo de gerenciamento de eventos porém...
temos que ter em mente alguns riscos envolvidos nisto:

- 1) Os logs trafegam em Clear Text pela rede: Se alguem estiver sniffando a rede e pegar um auth.log passando pode conseguir informações uteis para um ataque mais perigoso.


- 2) Deve-se tomar cuidado com uso de hostnames em servers de syslog uma vez que se um atacante fizer um DNS Spoof na rede pode direcionar todos os logs para a maquina dele e ferrar com tudo.


Bom, workaround ? Pode-se criar um túnel com Stunnel e criptografar usando TLS/SSL dai fica mto bom =]

Como Admin seu artigo é 10, como segurança é 5 :P



Valeu. []s

[2] Comentário enviado por ALIBI em 29/11/2007 - 10:40h

Será que podem me ajudar, tenho vários servidores e gostaria de mandar os logs para o meu serverlog, mas quero saber se tem como mandar separado por maquinas

Ex:
Maquina 1
Maquina 2

Como faria isso ?

Obrigado

[3] Comentário enviado por gprendin em 07/04/2008 - 12:04h

Existe algum servidor centralizador de logs com uma interface amigável?

Obrigada

[4] Comentário enviado por milton.paiva em 23/03/2012 - 14:51h

Realmente http://www.vivaolinux.com.br/perfil/verPerfil.php?login=y2h4ck, os dados trafegam em clear text ! Então, como vc mesmo recomendou é melhor usar um tunnel criptografado para manter os dados à salvo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts