Filtros en syslog-ng
Sirven para clasificar los mensajes basados en su contenido. Aceptan operadores booleanos (AND, OR, NOT) y las siguientes funciones:
facility, level, program, host, match
filter ciscofilter { facility(local3) and not host(server1); };
Configuración syslog-ng
El comando log combina los elementos descritos anteriormente para generar una acción
log {source(s_udp); filter(ciscofilter); destination(ciscofile); flags(final); };
MySQL y php-syslog-ng
Una herramienta muy útil para un servidor central de syslog-ng
Inserta cada mensaje en una simple tabla MySQL
Permite hacer búsquedas basadas en diversos criterios
Nodo de origen
Rango de tiempo
Prioridad
Interfaz web
php-syslog-ng
php-syslog-ng
Consideraciones de Seguridad
Restringir el tráfico syslog en el servidor central
Sólo permitir que sus equipos envíen logs
Por ejemplo, usar iptables:
# iptables -A INPUT -s 192.168.1.0/24 -p udp –dport 514 -j ACCEPT
# iptables -A INPUT -s 0/0 -p udp –dport 514 -j REJECT
Swatch
Simple Log Watcher
Escrito en Perl
Se monitorea los archivos de log buscando patrones (expresiones regulares).
Despues, se lo hace una accion si una patron es encontrado.
Swatch
ignore /things to ignore/
watchfor /NATIVE_VLAN_MISMATCH/
mail=root,subject=VLAN problem
threshold type=limit,count=1,seconds=3600
watchfor /CONFIG_I/
mail=root,subject=Router config
threshold type=limit,count=1,seconds=3600
Enlaces
php-syslog-ng: http://code.google.com/p/php-syslog-ng/
Swatch: http://swatch.sourceforge.net/
Referencias
http://www.loganalysis.org/
Syslog NG
http://www.balabit.com/network-security/syslog-ng/
Windows Event Log to Syslog:
https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys
SWATCH log watcher
http://swatch.sourceforge.net/
http://www.loganalysis.org/sections/signatures/log-swatch-skendrick.txt
http://www.loganalysis.org/
http://sourceforge.net/docman/display_doc.php?docid=5332&group_id=25401
Página anterior | Volver al principio del trabajo | Página siguiente |