Centralizando logs de dispositivos Cisco com o Syslog-ng
Publicado por Andre Luiz Facina em 14/10/2008
[ Hits: 13.408 ]
Centralizando logs de dispositivos Cisco com o Syslog-ng
Abaixo segue a configuração do Cisco e do syslog-ng (muito simples).
Configurando o dispositivo Cisco
# configure terminal(config) logging xx.xx.xx.xx (onde o x é o ip da máquina Linux que receberá os logs)
Configurando o Syslog-ng
Edite o arquivo /etc/syslog-ng.conf e inclua as seguintes informações. Em algumas distribuições ele pode ficar em /etc/syslog-ng/syslog-ng.conf.# Troque o xx pelo ip do dispositivo cisco
source cisco1721 { udp(ip(xx.xx.xx.xx) port(514)); };
# Onde os logs serão armazenados
destination d_log_cisco { file("/var/log/cisco.log"); };
# Aplicando filtros nos logs
filter f_cisco_info { level(info); };
filter f_cisco_notice { level(notice); };
filter f_cisco_warn { level(warn); };
filter f_cisco_crit { level(crit); };
filter f_cisco_err { level(err); };
# Origem, filtro, destino
log { source(cisco1721); filter(f_cisco_info); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_notice); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_warn); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_crit); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_err); destination(d_log_cisco); };
#EOF
Pronto, dessa forma todos os eventos no dispositivo Cisco serão enviados ao Linux. Isso permite criar uma política de segurança onde todos os logs são armazenados em um computador central e que em casos de comprometimento de algum dispositivo, você ainda terá como identificar o invasor, exceto nos casos em que ele também comprometer a máquina de logs. =)
--
André Luiz Facina
Adicionando e apagando usuários no OpenBSD
Configurando o Nagios com NagiosQL
Montando imagens ISO no OpenBSD
Bloquear Ultra Surf pelo firewall Linux
Parabéns pelo artigo! Ele complementa o meu artigo sobre servidores de log!
Não sabia da flexibilidade do syslog-ng no caso de roteadores Cisco!
Abraços!
Por que cisco1721? Tem alguma necessidade de usar o '1721' ou pode ser qualquer nome? Obrigado. [=
Só Corrigindo: xx.xx.xx.xx trata-se do ip do servidor Syslog.
Patrocínio
Destaques
Artigos
Conciliando ZRAM Swap com Swap em arquivo ou partição
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos
Dicas
Dicas para encontrar games Indies diferentes e criativos
Proteja seu Linux Mint com o Timeshift: Restaure o sistema mesmo que ele não inicie!
Instalar driver Nvidia no Debian 13
Redimensionando, espelhando, convertendo e rotacionando imagens com script
Tópicos
Comunicação entre duas redes (0)
Ajuda com o Debian 13 - Video hibrido geforce 940 mx Wayland OFF (5)
Top 10 do mês
-
Xerxes
1° lugar - 81.972 pts -
Fábio Berbert de Paula
2° lugar - 51.639 pts -
Buckminster
3° lugar - 27.193 pts -
Mauricio Ferrari
4° lugar - 18.541 pts -
Alberto Federman Neto.
5° lugar - 17.572 pts -
Sidnei Serra
6° lugar - 16.663 pts -
Daniel Lara Souza
7° lugar - 16.086 pts -
edps
8° lugar - 15.922 pts -
Andre (pinduvoz)
9° lugar - 15.353 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 14.720 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
