Servidor para centralização de logs - Fedora 7

milton.paiva

Em redes de grande porte com muitos servidores, fica impossível dar a devida atenção a cada servidor. Para um melhor trabalho é interessante centralizar os logs em um único servidor e, a partir dele, gerar relatórios e comparativos.

[ Hits: 26.777 ]

Por: Milton Paiva Neto em 27/11/2007

0 0

Denuncie Favoritos Indicar Impressora

Máquinas clientes

Altere o arquivo /etc/syslogd.conf adicionando um "@" seguido do endereço IP do servidor que centralizará os logs.

Exemplo de um /etc/syslogd.conf:

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*       /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
*.info;mail.none;authpriv.none;cron.none                @IP_DO_SEU_SERVIDOR

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure
authpriv.*                                              @IP_DO_SEU_SERVIDOR

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog
mail.*                                                  @IP_DO_SEU_SERVIDOR

# Log cron stuff
cron.*                                                  /var/log/cron
cron.*                                                  @IP_DO_SEU_SERVIDOR

# Everybody gets emergency messages
*.emerg                                                 *
*.emerg                                                 @IP_DO_SEU_SERVIDOR

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler
uucp,news.crit                                          @IP_DO_SEU_SERVIDOR

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log
local7.*                                                @IP_DO_SEU_SERVIDOR

Esses logs serão armazenados na máquina local e também serão enviados ao servidor de logs.

Agora reinicie o serviço "syslog" e acompanhe os logs chegando no servidor centralizador de logs.

Página anterior Próxima página

Páginas do artigo

   1. Configurando um servidor concentrador de logs
   2. Máquinas clientes
   3. Dicas do que precisa ser feito

Outros artigos deste autor

PDC - Samba + LDAP - Fedora 7

Leitura recomendada

Gaim + Gaim Encryption - Bate-papo com segurança

Nmap - Escaneando sua Rede e Mantendo-a Segura

Automatizando as atualizações no Linux

Prey Project - Localizando seu notebook roubado

Procedimento para descoberta de chave WEP

Comentários

[1] Comentário enviado por y2h4ck em 27/11/2007 - 10:20h

Então cara muito bom seu tuto. Realmente a centralização de logs é bem facil para agilizar o processo de gerenciamento de eventos porém...
temos que ter em mente alguns riscos envolvidos nisto:

- 1) Os logs trafegam em Clear Text pela rede: Se alguem estiver sniffando a rede e pegar um auth.log passando pode conseguir informações uteis para um ataque mais perigoso.

- 2) Deve-se tomar cuidado com uso de hostnames em servers de syslog uma vez que se um atacante fizer um DNS Spoof na rede pode direcionar todos os logs para a maquina dele e ferrar com tudo.

Bom, workaround ? Pode-se criar um túnel com Stunnel e criptografar usando TLS/SSL dai fica mto bom =]

Como Admin seu artigo é 10, como segurança é 5 :P

Valeu. []s

0 0

[2] Comentário enviado por ALIBI em 29/11/2007 - 10:40h

Será que podem me ajudar, tenho vários servidores e gostaria de mandar os logs para o meu serverlog, mas quero saber se tem como mandar separado por maquinas

Ex:
Maquina 1
Maquina 2

Como faria isso ?

Obrigado

0 0

[3] Comentário enviado por gprendin em 07/04/2008 - 12:04h

Existe algum servidor centralizador de logs com uma interface amigável?

Obrigada

0 0

[4] Comentário enviado por milton.paiva em 23/03/2012 - 14:51h

Realmente http://www.vivaolinux.com.br/perfil/verPerfil.php?login=y2h4ck, os dados trafegam em clear text ! Então, como vc mesmo recomendou é melhor usar um tunnel criptografado para manter os dados à salvo.

0 0