3 - Configurando os hosts da rede

Em quaisquer dos Sistemas Operacionais utilizados os registros de auditoria observados são registrados em determinados diretórios e arquivos, de acordo com os arquivos de configuração neles disponíveis.

Para a construção do log server, não será necessária a instalação do syslog-ng em todas as máquinas monitoradas. Em sistemas Linux/Unix, o próprio syslogd pode ser utilizado, através da configuração do arquivo /etc/syslog.conf. Em sistemas Windows, será necessária a instalação do NTSyslog.

3.1 - Configurando o arquivo /etc/syslog.conf nativo de sistemas Linux/Unix

Para que os logs gerados pelo sistema sejam enviados para o log server, basta incluir uma linha no arquivo /etc/syslog.conf. Esta entrada deverá conter as combinações desejadas de facilities e priorities para a geração de logs do daemon do syslog.

O arquivo /etc/hosts das máquinas que enviarão os logs para o log server deverá conter o registro necessário para reconhecer a máquina do log server através do seu hostname.

A indicação de loghost deve ser alterada da seguinte forma:

3.2 - Configurando máquinas com Windows

Máquinas utilizando o Sistema Operacional Windows também podem enviar os logs gerados pelo sistema para o log server. Para tal, será necessária a instalação do software NTSyslog.

Com este software, é possível a definição de um log server remoto para o qual o Windows irá enviar os registros obtidos.

Para a sua instalação, basta executar os seguintes passos:

1. Copiar o arquivo NTSyslog.exe para o diretório c:\Windows\system32\. Assim ela será executada como um serviço do sistema.

2. Executar o comando:

NTSyslog -install

Uma ferramenta gráfica - a NTSyslogCtrl - pode ser utilizada para configurar e definir quais tipos de mensagens serão monitoradas e quais serão as priorities utilizadas para cada uma delas.

3. Para acessá-la, basta executar o arquivo NTSyslogCtrl.exe (onde quer que ele esteja):

NTSyslogCtrl

Com esta ferramenta é possível identificar as priorities e facilities de acordo com os logs gerados pelo sistema. Desta forma, cada evento obtido poderá ser identificado de acordo com o processo que o gerou.

O NTSyslog pode ser configurado para gerar os logs de acordo com a tabela de facilities e priorities abaixo:

Facility: (0) kernel (12) ntp (1) user (13) log audit (2) mail (14) log alert (3) system (15) clock 2 (4) security/auth1 (16) local 0 (5) syslog (17) local 1 (6) line printer (18) local 2 (7) news (19) local 3 (8) uucp (20) local 4 (9) clock 1 (21) local 5 (10) security/auth2 (22) local 6 (11) ftp (23) local 7 O valor default para as configurações do NTSyslog é user.alert. Para que as alterações feitas na configuração tenham efeito, o serviço do NTSyslog deve ser reiniciado. O NTSyslog também pode ser configurado via registro do Windows. Porém, o uso da ferramenta NTSyslogCtrl elimina esta necessidade. Após configuradas todas as máquinas, o sistema do log server irá começar a registrar as ocorrências enviadas pelos sistemas remotos. Porém, para ser bem utilizada, esta informação terá que ser bem tratada e analisada. Uma boa ferramenta para a análise dos logs chama-se swatch. Página anterior     Próxima página Páginas do artigo    1. Introdução    2. Instalação do Log Server    3. Configuração do Log Server    4. Configurando os hosts da rede    5. Utilizando o swatch    6. Créditos e informações adicionais Outros artigos deste autor Nenhum artigo encontrado. Leitura recomendada Solução de backup para servidores Windows, Linux & BSD’s Integridade dos arquivos do sistema Attik Firewall Resumo da Norma ISO/IEC 13335-3 SELinux - Security Enhanced Linux    Comentários [1] Comentário enviado por agk em 06/07/2004 - 14:10h Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática. 0 0 × Editar post Mensagem Nossa, parabéns gostei muito desse artigo, apesar de já estar aqui a bastante tempo tive a oportunidade de ler ele apenas agora, muito bom, parabéns. Vou ver se consigo colocar ele em prática. Gravar [2] Comentário enviado por uiliangurjon em 23/08/2006 - 22:51h Excelente artigo!!!, vou testar o procedimentos do artigo!!! 0 0 × Editar post Mensagem Excelente artigo!!!, vou testar o procedimentos do artigo!!! Gravar [3] Comentário enviado por fliperbr em 19/03/2007 - 12:28h Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é: destination loghost { tcp("ipservidor" port(514)); }; log { source(src); destination(loghost); }; 0 0 × Editar post Mensagem Galera caso os outros servidores linux usem syslog-ng ao invez de syslog e você queira q eles enviem o log ao seu servidor de log o parametro é: destination loghost { tcp("ipservidor" port(514)); }; log { source(src); destination(loghost); }; Gravar [4] Comentário enviado por removido em 18/04/2007 - 10:41h Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro: checking pkg-config is at least version 0.9.0... yes checking for GLIB... yes checking for EVTLOG... configure: error: Package requirements (eventlog) were not met: No package 'eventlog' found Consider adjusting the PKG_CONFIG_PATH environment variable if you installed software in a non-standard prefix. Alternatively, you may set the environment variables EVTLOG_CFLAGS and EVTLOG_LIBS to avoid the need to call pkg-config. See the pkg-config man page for more details. dti-0319:/usr/src/syslog-ng-2.0rc4# Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar? Muito obrigado. 0 0 × Editar post Mensagem Beleza! Só que ao executar o ./configure no diretório do syslog-ng, apareceu o seguinte erro: checking pkg-config is at least version 0.9.0... yes checking for GLIB... yes checking for EVTLOG... configure: error: Package requirements (eventlog) were not met: No package 'eventlog' found Consider adjusting the PKG_CONFIG_PATH environment variable if you installed software in a non-standard prefix. Alternatively, you may set the environment variables EVTLOG_CFLAGS and EVTLOG_LIBS to avoid the need to call pkg-config. See the pkg-config man page for more details. dti-0319:/usr/src/syslog-ng-2.0rc4# Já procurei pelo pacote event log ou evt log e não consegui achar nada, alguém poderia me ajudar? Muito obrigado. Gravar [5] Comentário enviado por hugoalvarez em 26/11/2007 - 17:40h Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos, log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); }; como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima? O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts Até mais. 0 0 × Editar post Mensagem Acho que posso dizer que não funciona, talvez só na máquina do autor porque os filtros citados nem foram definidos, log { source(net); filter(Linux_machine.ftr); destination(monitoracao.dst); }; como ele usa o filter (Linux_machine.ftr) se esse filtro não foi definido em filters logo acima? O filtro definido foi Linux.ftr que aponta para a linux_machine que está cadastrada no /etc/hosts Até mais. Gravar [6] Comentário enviado por backfly em 17/01/2008 - 21:41h Galera, Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado. Alguem pode me ajudar, desde já agradeço. 0 0 × Editar post Mensagem Galera, Meu no meu servidor estado tudo OK, nao aparece erro ao inicializar o syslog-ng porem ele nao cria os diretorios nem os logs como foi configurado. Alguem pode me ajudar, desde já agradeço. Gravar [7] Comentário enviado por epgielow em 12/03/2008 - 17:44h Otimo tutorial! estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ... 0 0 × Editar post Mensagem Otimo tutorial! estou pensando em construir um log server aqui onde trabalho, mas estou estudando em fazer algo um pouco diferente, e provavelmente por um mysql tb para tentar fazer algum tipo de mineracao de dados mais hardcore, mas ainda estou pensando ... Gravar [8] Comentário enviado por epgielow em 12/03/2008 - 17:44h + com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :) 0 0 × Editar post Mensagem + com certeza o syslog-ng vai ta no meio da solucao e esse tutorial aqui vai ajudar um bocado! :) Gravar [9] Comentário enviado por rafaelalmeida em 11/04/2008 - 01:15h ?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote: 0 0 × Editar post Mensagem ?comentario=respondendo a pergunta do espinola eis o pacote: wget http://www.balabit.com/downloads/files/syslog-ng/sources/stable/src/eventlog-0.2.7.tar.gzote: Gravar Contribuir com comentário Enviar Patrocínio Site hospedado pelo provedor RedeHost. Destaques Agora temos uma assistente virtual no fórum!!! (246) Links importantes de usuários do VOL (3) Artigos Compartilhando a tela do Computador no Celular via Deskreen Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota Configuração para desligamento automatizado de Computadores em um Ambiente Comercial O mínimo que você precisa saber sobre o terminal (parte 2) O mínimo que você precisa saber sobre o terminal (parte 1) Dicas Como renomear arquivos de letras maiúsculas para minúsculas Imprimindo no formato livreto no Linux Vim - incrementando números em substituição Efeito "livro" em arquivos PDF Como resolver o erro no CUPS: Unable to get list of printer drivers Tópicos Notebook Novo. Aceita Duplo Boot? (2) Não estou conseguindo habilitar os timezones (1) verificar se uma fonte já esta instalada (30) Configuração de impressora térmica (0) Linux mint está congelando/tr... (3) Top 10 do mês Xerxes 1° lugar - 63.810 pts Fábio Berbert de Paula 2° lugar - 49.635 pts Buckminster 3° lugar - 17.988 pts Mauricio Ferrari 4° lugar - 15.148 pts Diego Mendes Rodrigues 5° lugar - 13.136 pts Daniel Lara Souza 6° lugar - 13.083 pts Alberto Federman Neto. 7° lugar - 13.055 pts Alessandro de Oliveira Faria (A.K.A. CABELO) 8° lugar - 10.269 pts edps 9° lugar - 10.243 pts Andre (pinduvoz) 10° lugar - 10.294 pts Scripts [Python] Automação de scan de vulnerabilidades [Python] Script para analise de superficie de ataque [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!) [Shell Script] Script para adicionar bordas às imagens de uma pasta A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda. FAQ - Perguntas frequentes Estatísticas do site Equipe de moderadores Membros da comunidade Anuncie Contato Política de privacidade Quem somos Termos de uso Site hospedado por: Severity: (0) emergency (4) warning (1) alert (5) notice (2) critical (6) information (3) error (7) debug