Contenido
Introducción
syslog
syslog-ng
php-syslogng
swatch
Introducción
Los logs son la principal fuente de información acerca de la actividad de la red y los sistemas
Esenciales para:
Detección de ataques e intrusos
Detección de problemas de hardware/software
Análisis forense de sistemas
La clave de la monitorización pasiva es la centralización de los mensajes
Servidor Log Central
Syslog
Syslog provee un servicio estándar y de mensajes
Por qué estándar:
Una interfaz API para aplicaciones (y el sistema operativo)?
Define niveles de severidad y agrupaciones de mensajes por tipo
Por qué distribuido
Cliente/Servidor
Local o remoto
Niveles Syslog
LOG_EMERG Sistema en estado inútil
LOG_ALERT Se requiere acción inmediata
LOG_CRIT Condiciones críticas
LOG_ERR Condiciones de Error
LOG_WARNING Condiciones de precaución
LOG_NOTICE Condición normal, pero significativa
LOG_INFO Mensaje informativo
LOG_DEBUG Mensaje de depuración
Grupos Syslog (Facilities)?
LOG_AUTH Mensajes de seguridad/autenticación (descontinuado)?
LOG_AUTHPRIV Mensajes de seguridad/autenticación (privado)?
LOG_CRON Servicio CRON
LOG_DAEMON Daemons del sistema
LOG_FTP Daemon FTP
LOG_KERN Mensajes del Kernel
LOG_LOCAL[0-7] Reservados para uso local
LOG_LPR Sub-sistema de impresión
LOG_MAIL Sub-sistema de correo
LOG_NEWS Sub-sistema de noticias USENET
LOG_SYSLOG Mensajes generados internamente por Syslogd
LOG_USER (default) Mensajes de nivel de usuario genéricos
LOG_UUCP Sub-sistema UUCP
Configuración de cliente syslog
/etc/syslog.conf
< facility>.< nivel>[,…] < path/to/logfile>|< @remote server>
Comodines:
* = todos
none = ninguno
*.info,mail.none /var/log/messages
mail.* /var/log/maillog
*.* @192.168.0.10
syslog-ng
ng = nueva generación
Tiene varias ventajas sobre el syslog tradicional
Transporte UDP y TCP
Filtrado basado en el contenido de los mensajes
Soporte para cifrado
Puede ejecutarse bajo un entorno chroot
Usar syslog-ng en el servidor central
Configuración syslog-ng
/etc/syslog-ng.conf
Consta de
Opciones globales
Fuentes (Sources)?
Destinos (Destinations)?
Filtros (Filters)?
Fuentes, Filtros y Destinos se conectan con comandos 'log'
Opciones globales en syslog-ng
options {
create_dirs (yes); # Crear subdirectorios
dir_perm(0755); # Permisos para los directorios creados
use_dns(yes);
dns_cache(yes); # Hacer caching de DNS
keep_hostname(yes); # Usar el nombre de host en el mensaje
use_fqdn(yes); # Usar nombre DNS completo
perm(0644); # Permisos para los archivos creados
sync(0); # Número de líneas en búfer antes de escribir
};
Fuentes en syslog-ng
Determinan de dónde se sacan los mensajes.
Los métodos de obtención se llaman Sourcedrivers:
file, unix-dgram, unix-stream, udp, tcp
source s_udp { udp (ip(0.0.0.0) port(514)); };
Destinos en syslog-ng
Determinan dónde se van a enviar los mensajes
Los mismos métodos que en la fuente + usertty
destination allbyhostfile { file("/log/hosts/$HOST/$FACILITY.$PRIORITY"
owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes));
};
destination ciscofile { file("/log/cisco"
owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes));
};
Página siguiente |