Академический Документы
Профессиональный Документы
Культура Документы
c
c 2
Un mensaje de registro suele tener información sobre la seguridad del sistema, aunque puede
contener cualquier información. Junto con cada mensaje se incluye la fecha y hora del envío.
Usos
También es posible registrar el funcionamiento normal de los programas; por ejemplo, guardar
cada acceso que se hace a un servidor web, aunque esto suele estar separado del resto de
alertas.
[editar]Protocolo
Los mensajes de syslog se suelen enviar vía UDP, por el puerto 514, en formato de texto
plano. Algunas implementaciones del servidor, como p p, permiten usar TCP en vez de
UDP, y también ofrecen Stunnel para que los datos viajen cifrados mediante SSL/TLS.
Aunque p p tiene algunos problemas de seguridad, su sencillez ha hecho que muchos
dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar
mensajes de varios tipos de sistemas en un solo repositorio central.
[editar]x 2
2
2
El mensaje enviado se compone de tres campos:
½ Prioridad
½ Cabecera
½ Texto
Entre todos no han de sumar más de 1024 bytes, pero no hay longitud mínima.
[editar]À
2
La
es un número de 8 bits que indica tanto el Op (tipo de aparato que ha
generado el mensaje) como la p
(importancia del mensaje), números de 5 y 3 bits
respectivamente. Los códigos de recurso y severidad los decide libremente la aplicación, pero
se suele seguir una convención para que clientes y servidores se entiendan.
[editar]r
2
2 2
Îstos son los códigos observados en varios sistemas. Fuente: RFC 3164.
Ñ
!
"
# $
!
% $
$
& $
''()
*
Ñ
!
+,)
$
-,)
.
!
$
"
# 'Ñ
% '
& '
* '
Ñ '
'"
'#
'%
[editar]r
2
2
2
Ñ x
/
$
$
0
x
"
1
$
#
2
%
$
[editar]r2
2 2
2
À
Op
[editar]r 2
El primer campo,
, se escribe en formato *2
[editar]2
[editar]Historia
p p fue desarrollado por Eric Allman como parte del proyecto Sendmail, inicialmente
(años 1980) sólo para éste proyecto. Sin embargo, se comprobó que era muy útil, y otras
aplicaciones empezaron también a usar p p. Hoy en día (2005), p p está presente
por defecto en casi todos los sistemas Unix y GNU/Linux, y también se encuentran
diversas implementaciones de p p para otros sistemas operativos, como Microsoft
Windows.
[editar]Implementaciones
½ UNIX:
½ sysklogd
½ rsyslogd: Implementa syslog sobre TCP y sigue el RFC 3195
½ syslog-ng: TCP, SSL, SQL
½ Windows 2000, 2003, XP:
½ HDC Syslog: parte de los productos HDC
½ Kiwi Syslog Daemon
½ NetDecision LogVision
½ WinSyslog
½ NTsyslog
½ Syslserve
½ Syslog Watcher
2
!
!
!
p p
#
$"
%
%&'(
+,
-.*/
"
0 !)
-
p
r
%
"
2
)3332"4
a
a
2
2
)"22
'
!r
$
,%%r0
5
6r787
!
4
0
7
!
)
0
"4
!
+
)
<
)
7
2Ë22 2 ,
*/
!
%
2=22>2
/
#
"
7!
2 )
2
!
=
=
2 )
2
=
2 )
2>>
!)
/
!
)
!
/
"!
)
3
33
'0
2?2
*
-
) 0
)
-'0"
@
"
pp
/
0
0
!
)%%r0 #
"
* !4
/
)
!
!
)
%%r0 333
!
%%r0)
& !
4
a
!
!
0
)
*
3
!
"
20
!
"
+
>=7 " *
)2>=27
2 2/ ,
%%r0)
"
! 2=24
333BCr)
-
!
#
)%%r0
)
2
*
,
)
!
p
p p
/
*
)
*
)
%
!
+*
!
)
+
*+
,
,
#
*
,
pp pp p
)
7!
) +F
$ G"
p pp
7
$
) ,
2BH ,
$C2/ $" ,
0
)
,
! )
)
Ë
)
ËË
9)
"
a Ë
a
7
!
*
!4
a
! a
6
# -: ;
33
)
/ *
.'&-)
*-
-
) 3
-
-
a !
a
9 4
a
a"
r
+F
3
3
%
-
*
4
a
#
#
-
)
0
*
*
"
*
!
)
)
!
"
/)
"
!
)/
-
)
*
*
) %*
*
-
,
),
'0
"
)
)
K"
+
@
A
*
%-0
*
!
!)
7
#
4
"
DLLK
6 M DLL
#
2222
222
22
22
222
2
22
2222
22
2
22222222
2
222222
2
2222
222
2222
222
222222222
2
22p p22
22
222222
22
22
22222222
2
222222
222222
222
22
2 2!22222
2
222
2
22222222
2"
2#22
2
22
2$2222222
#2222$
22à
à
2#22
$2
2%
2
222$
22
22
2
2
2
2
2
22
222
2222
2&2
públi ienen probabilidade de er objeto) de la red loal o Internet, inluo. De eta
anera, todo lo equipo enviarán inediataente de ualquier relaión evento del itea en
el ervidor de log, aegurándoe de que u regitro erán totalente exato y no-alterado
en todo oento.
En ete artíulo e deriben on detalle óo onfigurar un ervidor de ylog para uno o vario
itea Unix, en Fedora Core y Ubuntu de Debian /. Sin ebargo, * que * el trabajo para ai
ualquier ditribuión de Linux.
r
Yo etoy á eguro, i no todo, lo itea Linux ya tiene intalado ylog aí que voy a oitir
ete pao.
å :
r
3
r
*
Si e etá ejeutando , y eta edida fallan, tabién tratan de:
r
y i vuelve a fallar, a por el de la vieja euela atar oando:
r
# +
opiar el PID &núero de la egunda oluna) dede la línea de ylog y:
r
* , -./
Ejeplo:
r
01%0 2 # +
34 567,, !! !5 889 778
! : ; 5!57 !!!
<
34 56788 !! !5 57,6 =>7? : 5!56 !!!
a !
1 01%0 2 * , 56788
- A ontinuaión, tendrá que editar el ylog o ript de arranque para iniiar ylog deonio on
la opión "-r" del pabellón, o iniiar anualente on ea bandera. "-R" e habilita la funión de
reepión a ditania, que peritirá a lo regitro de entrada.
å :
- Abra
on u editor de texto favorito
- Buar la línea:
r
:@:ABC/<B-D.BE: &a !&
- Sutituirlo por:
r
:@:ABC/<B-D.BE: &a!&
- Reiniiar el deonio ylog:
r
3 :
- Abra
on u editor de texto favorito
- Buar la línea:
r
:@:ABC/ &
&
- Sutituirlo por:
r
:@:ABC/ &
&
- Reiniiar el deonio ylog:
r
*
En aba ditribuione e debe ver un enaje iilar a "reiniiar ylog &reepión a ditania)
al ejeutar el oando:
r
a
En que ualquiera debe enontrar el arhivo ylog RC, editar y añadir la "r"
del pabellón de la opione de ylog o, i ha utilizado la euela oando kill de edad, ólo tiene
que iniiar anualente ylog:
r
- En el pao final, uted tendrá que aegurare de que el firewall no etá bloqueando todo lo
paquete entrante. Bata on ejeutar ete oando iptable por lo que ualquier nora e
reeplaza:
r
. .E-FD ! 5,657856 5,657855 =59) GHH-D
Eta regla e aegurará de que el ervidor ylog &'().'*+.'.') reibirá lo paquete UDP &que
ontiene lo evento de regitro) del liente &'().'*+.'.)). Uted debe utituir eta direione
IP on la orreta. Adeá, tendrá que volver a ejeutar ete oando por ada PC liente que
uted pueda tener &'().'*+.'.3, '().'*+.'.4, et).
A ontinuaión, agregue eta línea &o línea) para r.loal para que e ejeute ada vez que e
iniie el itea.
r
- Lo equipo liente etán onfigurado para enviar ualquier evento regitrado en el ervidor de
ylog, inediataente oo e produen lo evento. Para ello, edite el arhivo
en todo lo equipo liente y agregar eta línea al prinipio del arhivo:
r
ËË 5,657855
Una vez á, reeplazar la direión IP de ejeplo on la direión orreta del ervidor ylog
IP.
*
B
B
# +
* , -./
- Por últio, aegúree de que la áquina del liente e peritido por el firewall para enviar
paquete UDP. Una vez á, uted puede anular ualquier regla ejeutando el oando iptable:
r
. :GA./G ! 5,657856 5,657855 =59) GHH-D
Adeá, añadir eta línea a r.loal para que e ejeute en ada arranque del itea.
Eto e todo. Si todo e hizo orretaente, uted debe oenzar a reibir lo evento de regitro
al ervidor ylog. Para verlo, ejeute:
r
#
a
IHDJA ; H K
#
IHDJA ; H K
TENERENrENTA que la áquina que ejeuta el ylog entral debe er garantizado en la
ayor edida. Si e poible, ue una áquina que no hae uho en la red para que no e
aptura la atenión de ataante, de lo ontrario el únio propóito erá derrotado.2