Академический Документы
Профессиональный Документы
Культура Документы
los logs
nos dicen qu ha pasado
Recoleccin local
Qu recojo? Cmo lo clasifico?
Anlisis
Qu busco?
Entrega de resultados
Cmo lo enseo?
Centralizacin de Logs: Syslog local
determinada
# Mensajes de kernel
FACULTAT DINFORMTICA DE BARCELONA
kern.panic;kern.emerg;kern.alert;kern.crit;kern.err /syslog/kern_greu.log
kern.warning;kern.notice;kern.info /syslog/kern.log
user.debug /syslog/user.log
mail.debug /syslog/mail.log
daemon.debug /syslog/daemon.log
syslog.debug /syslog/syslog.log
lpr.emerg;lpr.alert;lpr.crit;lpr.notice /syslog/lpr.log
# Logs de SAMBA
local4.warning /syslog/samba.log
Hay que hacer una revisin de todas las aplicaciones de todos los
sistemas y hacer una tabla para agrupar los logs por categoras de
facilitys comunes
Centralizacin de Logs:
Tabla de facilitys centralizada
Facility Uso
kern Mensajes del kernel, reservado
kern.debug El ipfilter de linux va forzosamente a kern.*. Elegimos ponerlo en debug -> lo redirecionaremos al ip.log
user Mensajes de usuario, user.notice usado para mensajes de conexion de usuarios de FIBNETLESS
mail Mail
daemon Daemons varios: dns, dhcp,
incluye script de actualizacion de fichero de firmas en ricino
auth ssh
syslog mensajes del syslog
lpr Impresoras
news Logs de windows -> Windows Security
uucp Logs de windows -> Windows System
cron
authpriv
ftp Amavis de ricino
ntp
log audit
log alert
clock daemon
local0 LOGS de firewalls (Linux ipfilter & Solaris iptables)
El ipfilter de Solaris va forzosamente al local0 --> OK -> lo redirecionaremos al ip.log
local1 usos locales
local2 usos locales
local3 LDAP
local4 samba
local5 Tripwire
local6 Redes - mensajes
local7 Para todo en general
Centralizacin de Logs: Windows
Windows (http://ntsyslog.sourceforge.net/)
Qu monitorizamos?
Procedimiento:
Obtenemos la lista completa de sucesos del sistema
Knowledge Base artculos 299475 y 301677
(Descripciones de los sucesos de seguridad de Windows 2000)
Elegimos los mensajes que consideremos importantes
Escogemos las categoras que engloban todos estos mensajes
Centralizacion de Logs: poltica de Windows
Seguridad
FACULTAT DINFORMTICA DE BARCELONA
Sistema
Aplicacin
Centralizacin de Logs:otros
configurarlo:
switch1#conf t
switch1(config)#
switch1(config)# logging facility local6
switch1(config)# logging 192.168.1.2
switch1(config)# logging trap 4
Una vez hemos agrupado los logs por facility y los hemos
FACULTAT DINFORMTICA DE BARCELONA
Otras decisiones:
FACULTAT DINFORMTICA DE BARCELONA
Syslog o syslog-ng?
Nuestra experiencia es que syslog-ng es recomendable, pero no
imprescindible
Para una instalacin nueva, yo lo instalara desde el principio.
Envo encriptado ?
Syslog enva los mensajes en texto en claro. Nosotros no lo hemos credo
necesario, pero puede serlo en entornos muy seguros
Almacenamiento en una BD
Centralizacin de Logs: Anlisis
Consejos:
FACULTAT DINFORMTICA DE BARCELONA
log: /xxx/xarxes.log
ALL;;/Configured from console by .*/;"";OK;-;-;-
ALL;;/Attempted to connect to RSHELL from .*/;"";WARN;-;-;-
switch1,switch2;;/.* GigabitEthernet.*\/52 changed state to .*/;"";CRIT;-;-;-
switch1,switch2;;/.* GigabitEthernet.* changed state to .*/;"";NONE;-;-;-
ALL;;/psecure-violation error detected/;"";CRIT;-;-;-
ALL;;/.* FastEthernet.* changed state to .*/;"";NONE;-;-;-
ALL;;/FastEthernet.* is experiencing errors/;"";WARN;-;-;-
ALL;;/GigabitEthernet.* is experiencing errors/;"";WARN;-;-;-
ALL;;/list .* denied .*/;"";WARN;-;-;-
ALL;;/list .* permitted .*/;"";OK;-;-;-
ALL;;/FastEthernet.* link down\/up .* times per min/;"";NONE;-;-;-
router1,router2;;/GigabitEthernet.* link down\/up .* times per min/;"";CRIT;-;-;-
ALL;;/last message repeated/;"";NONE;-;-;- router1,router2;;/.*/;"";CRIT;-;-;-
ALL;;/.*/;"";CRIT;-;-;-
Centralizacin de Logs: Integracin con Nagios III
Ventajas adicionales:
FACULTAT DINFORMTICA DE BARCELONA
Notificaciones de scripts
especficos
Centralizacin: Documentacin interesante
http://www.microsoft.com/spain/technet/seguridad/2000server/chapters/ch06secops.asp
Logsurfer+
http://www.samag.com/documents/s=9053/sam0403i/0403i.htm
Cross-Platform Event Reporting
http://www.samag.com/articles/2000/0009/
Remote System Logs via SSH
http://www.samag.com/documents/s=1149/sam0106s/0106s.htm
Sitio web sobre temas de logs. Buenos artculos y
referencias
http://www.loganalysis.org/
Guia de mensajes inesperados en los logs:
http://www.loganalysis.org/presentations/syslog_sans_webcast.pdf
Snare EventLog (LotusNotes, windows, es GNU)
http://www.intersectalliance.com/projects/SnareWindows/index.html