Centralizando logs de dispositivos Cisco com o Syslog-ng

Publicado por Andre Luiz Facina em 14/10/2008

[ Hits: 13.158 ]

 


Centralizando logs de dispositivos Cisco com o Syslog-ng



Com o syslog-ng é possível receber logs de outros dispositivos e arquivá-los em arquivos separados, ajudando na centralização de dados e consequentemente na administração da rede (o syslog também permite receber logs de outros dispositivos/computadores, porém ele não é muito flexível em comparação ao syslog-ng, o que acaba dificultando na coleta de informações).

Abaixo segue a configuração do Cisco e do syslog-ng (muito simples).

Configurando o dispositivo Cisco

# configure terminal
(config) logging xx.xx.xx.xx (onde o x é o ip da máquina Linux que receberá os logs)

Configurando o Syslog-ng

Edite o arquivo /etc/syslog-ng.conf e inclua as seguintes informações. Em algumas distribuições ele pode ficar em /etc/syslog-ng/syslog-ng.conf.

# Configurando a origem das informações
# Troque o xx pelo ip do dispositivo cisco

source cisco1721 { udp(ip(xx.xx.xx.xx) port(514)); };

# Onde os logs serão armazenados
destination d_log_cisco { file("/var/log/cisco.log"); };

# Aplicando filtros nos logs
filter f_cisco_info { level(info); };
filter f_cisco_notice { level(notice); };
filter f_cisco_warn { level(warn); };
filter f_cisco_crit { level(crit); };
filter f_cisco_err { level(err); };

# Origem, filtro, destino
log { source(cisco1721); filter(f_cisco_info); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_notice); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_warn); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_crit); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_err); destination(d_log_cisco); };

#EOF

Pronto, dessa forma todos os eventos no dispositivo Cisco serão enviados ao Linux. Isso permite criar uma política de segurança onde todos os logs são armazenados em um computador central e que em casos de comprometimento de algum dispositivo, você ainda terá como identificar o invasor, exceto nos casos em que ele também comprometer a máquina de logs. =)

--
André Luiz Facina

Outras dicas deste autor

Convertendo uma chave privada OpenSSL para uma chave pública/privada do OpenSSH

AIX - Identificando portas abertas

Servidor NFS no OpenBSD

Obtendo o WWPN de HBAs no Linux

Adicionando SWAP no OpenBSD

Leitura recomendada

Permissão dos arquivos - aumentando a segurança com umask

Criptografando diretórios com eCryptfs

Nmap - Exploração de redes e auditorias de segurança (webinar gratuita)

Funcionamento e bloqueio do MSN - Squid + Iptables

SQUID + Autenticação Segura no AD (NTLM)

  

Comentários
[1] Comentário enviado por dandelion em 15/10/2008 - 13:46h

Parabéns pelo artigo! Ele complementa o meu artigo sobre servidores de log!

Não sabia da flexibilidade do syslog-ng no caso de roteadores Cisco!

Abraços!

[2] Comentário enviado por bahamuthxx em 03/02/2010 - 14:35h

Por que cisco1721? Tem alguma necessidade de usar o '1721' ou pode ser qualquer nome? Obrigado. [=

[3] Comentário enviado por leandroecomp em 10/07/2016 - 23:59h

Só Corrigindo: xx.xx.xx.xx trata-se do ip do servidor Syslog.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts