Professional Documents
Culture Documents
los logs
nos dicen qu ha pasado
Recoleccin local
Qu recojo? Cmo lo clasifico?
Anlisis
Qu busco?
Entrega de resultados
Cmo lo enseo?
Centralizacin de Logs: Syslog local
determinada
# Mensajes de kernel
FACULTAT DINFORMTICA DE BARCELONA
kern.panic;kern.emerg;kern.alert;kern.crit;kern.err /syslog/kern_greu.log
kern.warning;kern.notice;kern.info /syslog/kern.log
user.debug /syslog/user.log
mail.debug /syslog/mail.log
daemon.debug /syslog/daemon.log
syslog.debug /syslog/syslog.log
lpr.emerg;lpr.alert;lpr.crit;lpr.notice /syslog/lpr.log
# Logs de SAMBA
local4.warning /syslog/samba.log
Hay que hacer una revisin de todas las aplicaciones de todos los
sistemas y hacer una tabla para agrupar los logs por categoras de
facilitys comunes
Centralizacin de Logs:
Tabla de facilitys centralizada
Facility Uso
kern Mensajes del kernel, reservado
kern.debug El ipfilter de linux va forzosamente a kern.*. Elegimos ponerlo en debug -> lo redirecionaremos al ip.log
user Mensajes de usuario, user.notice usado para mensajes de conexion de usuarios de FIBNETLESS
mail Mail
daemon Daemons varios: dns, dhcp,
incluye script de actualizacion de fichero de firmas en ricino
auth ssh
syslog mensajes del syslog
lpr Impresoras
news Logs de windows -> Windows Security
uucp Logs de windows -> Windows System
cron
authpriv
ftp Amavis de ricino
ntp
log audit
log alert
clock daemon
local0 LOGS de firewalls (Linux ipfilter & Solaris iptables)
El ipfilter de Solaris va forzosamente al local0 --> OK -> lo redirecionaremos al ip.log
local1 usos locales
local2 usos locales
local3 LDAP
local4 samba
local5 Tripwire
local6 Redes - mensajes
local7 Para todo en general
Centralizacin de Logs: Windows
Windows (http://ntsyslog.sourceforge.net/)
Qu monitorizamos?
Procedimiento:
Obtenemos la lista completa de sucesos del sistema
Knowledge Base artculos 299475 y 301677
(Descripciones de los sucesos de seguridad de Windows 2000)
Elegimos los mensajes que consideremos importantes
Escogemos las categoras que engloban todos estos mensajes
Centralizacion de Logs: poltica de Windows
Seguridad
FACULTAT DINFORMTICA DE BARCELONA
Sistema
Aplicacin
Centralizacin de Logs:otros
configurarlo:
switch1#conf t
switch1(config)#
switch1(config)# logging facility local6
switch1(config)# logging 192.168.1.2
switch1(config)# logging trap 4
Una vez hemos agrupado los logs por facility y los hemos
FACULTAT DINFORMTICA DE BARCELONA
Otras decisiones:
FACULTAT DINFORMTICA DE BARCELONA
Syslog o syslog-ng?
Nuestra experiencia es que syslog-ng es recomendable, pero no
imprescindible
Para una instalacin nueva, yo lo instalara desde el principio.
Envo encriptado ?
Syslog enva los mensajes en texto en claro. Nosotros no lo hemos credo
necesario, pero puede serlo en entornos muy seguros
Almacenamiento en una BD
Centralizacin de Logs: Anlisis
Consejos:
FACULTAT DINFORMTICA DE BARCELONA
log: /xxx/xarxes.log
ALL;;/Configured from console by .*/;"";OK;-;-;-
ALL;;/Attempted to connect to RSHELL from .*/;"";WARN;-;-;-
switch1,switch2;;/.* GigabitEthernet.*\/52 changed state to .*/;"";CRIT;-;-;-
switch1,switch2;;/.* GigabitEthernet.* changed state to .*/;"";NONE;-;-;-
ALL;;/psecure-violation error detected/;"";CRIT;-;-;-
ALL;;/.* FastEthernet.* changed state to .*/;"";NONE;-;-;-
ALL;;/FastEthernet.* is experiencing errors/;"";WARN;-;-;-
ALL;;/GigabitEthernet.* is experiencing errors/;"";WARN;-;-;-
ALL;;/list .* denied .*/;"";WARN;-;-;-
ALL;;/list .* permitted .*/;"";OK;-;-;-
ALL;;/FastEthernet.* link down\/up .* times per min/;"";NONE;-;-;-
router1,router2;;/GigabitEthernet.* link down\/up .* times per min/;"";CRIT;-;-;-
ALL;;/last message repeated/;"";NONE;-;-;- router1,router2;;/.*/;"";CRIT;-;-;-
ALL;;/.*/;"";CRIT;-;-;-
Centralizacin de Logs: Integracin con Nagios III
Ventajas adicionales:
FACULTAT DINFORMTICA DE BARCELONA
Notificaciones de scripts
especficos
Centralizacin: Documentacin interesante
http://www.microsoft.com/spain/technet/seguridad/2000server/chapters/ch06secops.asp
Logsurfer+
http://www.samag.com/documents/s=9053/sam0403i/0403i.htm
Cross-Platform Event Reporting
http://www.samag.com/articles/2000/0009/
Remote System Logs via SSH
http://www.samag.com/documents/s=1149/sam0106s/0106s.htm
Sitio web sobre temas de logs. Buenos artculos y
referencias
http://www.loganalysis.org/
Guia de mensajes inesperados en los logs:
http://www.loganalysis.org/presentations/syslog_sans_webcast.pdf
Snare EventLog (LotusNotes, windows, es GNU)
http://www.intersectalliance.com/projects/SnareWindows/index.html