INSTITUTO TECNOLOGICO DE CALKINI EN EL ESTADO DE CAMPECHE

CAMPUS HOPELCHEN
Herramientas para
monitorear Bitcoras o
Logs

Libna Mada Kantn Brito
21/05/2014




Monitoreo de Archivos de Bitcoras

Los archivos de bitcoras de los sistemas y aplicaciones contienen informacin
invaluable como el estatus y los resultados de las operaciones, errores y mucho
ms. Monitorear los archivos de bitcoras ayuda a los administradores de TI a
conocer el desempeo de los sistemas y aplicaciones crticas para los objetivos
como Oracle, SAP, ERP, ISS, etc. a tiempo real.
OpManager ofrece un monitoreo de archivos de bitcoras basado en agentes
para monitorear las bitcoras de sistemas y aplicaciones. El agente desplegado en
los sistemas Windows monitorear los archivos de bitcoras en textos a tiempo
real.

Aspectos destacados del Monitor de Archivos de Bitcoras
Monitoreo & alertas de bitcoras a tiempo real
El agente monitorea los archivos de bitcoras cada 10 segundos en la cadena
configurada. Una vez que la aplicacin o sistema imprime la cadena en su
bitcora, el agente captura a tiempo real la informacin y levanta una alarma en
OpManager.
Coincidencia de Cadenas & Maysculas/Minsculas
El agente escanea los archivos de bitcoras para buscar coincidencias exactas en
las cadenas. La cadena puede ser una expresin regular y tambin puede incluir
caracteres especiales. Adems de esto, usted puede configurar tambin el agente
para que busque coincidencias tomando en cuenta maysculas y minsculas en la
cadena.
Escaneo de contenido reciente
Cuando los archivos de bitcoras son escaneados, la ltima posicin escaneada
es anotada. Los escaneos subsecuentes inician desde la posicin escaneada
anteriormente. Esto ayuda a obtener solamente las ltimas impresiones de
bitcora.
Lectura de archivos de bitcoras discreta
Para evitar que el archivo de bitcora se bloquee mientras se realiza el monitoreo,
el agente monitorea slo los archivos de bitcora que cuentan con acceso a
lectura compartida.
Contadores de entradas de bitcoras
El Agente de Monitoreo de archivos de bitcora tambin rastrea las entradas
duplicadas y levanta una alerta. Esto ser til en casos en donde usted necesite
ser alertado si el mensaje de error se imprime por N veces consecutivas.
Comunicacin segura
TLa comunicacin entre el servidor de OpManager y el agente se realiza mediante
un puerto en el servidor web, de modo que no hay necesidad de abrir otro puerto
nuevo. Si usted lo requiere, puede configurar OpManager para que se ejecute en
modo HTTPS. Esto asegura la comunicacin de datos entre el agente y el servidor
de OpManager.
Ligero y fcil de instalar
El agente de monitoreo de archivos de bitcoras es muy ligero y no consume
muchos recursos del sistema. Tambin es muy fcil de instalar.
Windows Event Log Monitoring
Applications Manager de ManageEngine puede ser utilizado para monitorear los
distintos eventos de Windows. Las reglas de las Bitcoras de Eventos pueden ser
configuradas para generar alarmas.

Por ejemplo. Cuando un evento del tipo Error ocurra en la Bitcora del Sistema,
usted puede generar una alarma crtica la cul afectar al
Estado del Monitor de Windows.
Nota: El monitoreo de Bitcoras de Eventos est
disponible en las Instalaciones de Windows y tambin en
el modo de monitoreo WMI solamente.
Para recibir los eventos de Windows, usted tendr que
configurar las Reglas de Bitcoras de Eventos. Usted puede permanecer
notificado por los eventos desde los siguientes Archivos de Bitcora:
De aplicaciones
Del sistema
De seguridad
Del servicio de replicacin de archivos
Del Servidor DNS
Del Servicio del Directorio.

MEJORES PRACTICAS Y HERRAMIENTAS PARA EL MONITOREO DE
BITACORAS EN UNIX
INTRODUCCION

Qu es un log?
Registro oficial de eventos durante un periodo de tiempo en particular. Para los
profesionales en seguridad informtica un log es usado para registrar datos o
informacin sobre quin, que, cuando, donde y por qu de un evento que ocurre
para un dispositivo en particular o aplicacin.

Propsito de los LOGS
Todos los sistemas pueden verse comprometidos por un intruso, de manera local
o remota.

La seguridad no slo radica en la prevencin, sino tambin en la identificacin.
Entre menos tiempo haya pasado desde la identificacin de intrusin, el dao ser
menor; para lograr esto es importante hacer un constante monitoreo del sistema.

De cualquier forma que se realice una proteccin de Unix debe incluir el monitoreo
y revision de LOGS de una forma comprensiva, precisa y cuidadosa.

Los logs tienen numerosos propsitos:
Ayudar a resolver problemas de todo tipo
Proveer de avisos tempranos de abusos del sistema.
Despus de una caida del sistema, proporcionan datos de forensia como
evidencia legal.

Monitoreo en bitcoras
Generalmente no deseamos permitir a los usuarios ver los archivos de bitcoras
de un servidor, y especialmente no queremos que sean capaces de modificarlos o
borrarlos. Normalmente la mayora de los archivos de bitcoras sern posedos
por el usuario y grupo root, y no tendrn permisos asignados para otros, as que
en la mayora de los casos el nico usuario capaz de modificar los archivos de
bitcoras ser el usuario root.

Debido a la cantidad de informacin que se genera en la bitcoras, siempre es
bueno adoptar algn sistema automtico de monitoreo, que levante las alarmas
necesarias para cuando algn evento extrao suceda.
El sistema operativo Debian utiliza LogCheck para realizar el anlisis y monitoreo
de bitcoras, RedHat emplea LogWatch, etc.

Ejemplos:

CDM
Software que permite la monitorizacin de UNIX, actualmente soportan varias
versiones de UNIX y Linux, incluyendo Solaris, AIX, HP-UX, Irix, Linux, Sinix y
Tru64 UNIX. Est compuesta por 3 mdulos que se pueden usar individualmente o
en conjunto para obtener la mxima visibilidad del rendimiento del sistema UNIX:

CPU, Disco y Memoria
Monitor de Procesos
Monitor de archivos Log

El Monitor de Archivos Log vigila los archivos log basados en formato ASCII y
extrae informacin predefinida, eliminando la necesidad de intervencin manual.
Las utilidades de bsqueda del monitor permiten una definicin sofisticada de
ficheros log complejos y variables. Se pueden vigilar varios archivos log a la vez, y
definir cualquier cantidad de perfiles de bsqueda para cada archivo.

Caractersticas:
Monitor de archivos log ASCII
Soporte de mltiples formatos de archivos
Un mensaje por linea
Archivos complejos con mensajes multilnea
Archivos con formato sin estructura
Definicin fcil de perfiles usando
Expresiones Regulares :
Patrones
Posicin absoluta en columnas
Posicin relativa en caracteres
Monitorizacin de mltiples archivos simultneamente
Mltiples perfiles de bsqueda para cada archivo
Consumo mnimo
Se puede buscar en el archivo completo o solo en las lineas nuevas

TANGO04

Esta herramienta nos permite alcanzar un mainframe con diferentes niveles de
servicio, monitorear servidores, integrar diferentes arquitecturas, ademas:
Uso del CPU
Uso del File System
Abuso en el uso de procesos por el CPU
Promedio de carga de trabajo
Informacion general sobre procesos.
Procesos por usuario
Memoria Virtual (swap)

AIDE (Advanced Intrusion Detection Environment)

AIDE como su nombre lo dice es un detector de intrusos, tal como Tripwire. Tal
como tripwire crea una base de datos basada en las reglas establecidas, la cual es
usada para verificar la ointegridad de un archivo. Ademas AIDE permite checar
inconsistencias en los atributos de archivos

Osiris

Osiris mantiene un detalle de los cambios de los logs en el flie system, se puede
configurar para que envie un mail al adminstrador con estos logs, los hosts son
escaneados periodicamente, mantiene al adminstrador constantemente prevenido
contra ataques de trojanos. El proposito principal es aislar los cambios que indicen
una amenaza o compromentan el sistema.

Samhain

Software multipalataforma, open source para verificacin centralizada del los
archivos de sistema (file system), basado en sistemas POSIX, capza de
monitorear diferentes sistemas operativos desde un servidor central. Entre sus
caractersticas principales se encuentran:
Consola basada en Web.
Monitoreo de log multiplataforma.
Tamper resistance.

Centrify DirectAudit

Permite cumplir reglas estricats en el File System, inspeccionar los problemas que
se presenten a profundidad y proteger contra amenazas en UNIX. DirectAudit
detalla los logs, determinando su importancia, enviando reportes, accesso de
usuarios a sistema, que codigos ejecutaron, que cambios hicieron, etc.

Herramientas para la administracin de logs.

Tripwire
Es una herramienta diseada especialmente para Sistemas Operacionales UNIX.
Dicha herramienta por medio de funciones se encarga de generar un Hash nico
por cada archivo que se le desee proteger su integridad. De esta forma cuando se
presente un cambio en un log por parte del atacante, este cambio ser notificado
al administrador (envindose un mail automtico), ya que no reflejar el hash
original. Para realizar dichas detecciones Tripwire tambin se basa en: CRC-32,
MD5, SHA y HAVAL (firma digital de 128 bits).
logrotate
Esta herramienta alterna, comprime y enva logs de sistema. Est diseada para
facilitar la administracin de los sistemas que generan un gran nmero de archivos
de logs. Permite la rotacin automtica, comprensin, extraccin y envi de los
archivos de logs. Puede manipularse cada archivo log diaria, semanal o
mensualmente, o cuando se haga demasiado grande.

SYSLOG
Es la principal herramienta de UNIX para llevar la bitcora de eventos. Con este
sistema, se puede configurar el manejo de bitcoras a un nivel extremadamente
alto de detalle y cada flujo de registros puede ir a un archivo diferente. Una
habilidad muy buscada y muy potente del syslog es su capacidad de enviar
registros de bitcoras a computadoras remotas. Esto permite centralizar las
bitcoras en un solo servidor y fcilmente verificar los archivos de bitcora por
razones de violaciones de seguridad y otras cosas extraas en toda la red.

La mayora del manejo de bitcoras esta provisto por dos programas principales:
sysklogd y klogd. El primero provee de un sistema de bitcoras para los
programas y las aplicaciones, mientras que el segundo provee del manejo de
bitcoras para el kernel.
Klogd actualmente enva la mayora de los mensajes al syslogd, pero en
ocasiones enviar mensajes a la consola.
Sysklogd actualmente maneja las tareas de procesar la mayora de los mensajes y
enviarlos al archivo o dispositivo apropiado; esto se configura dentro del archivo
/etc/syslog.conf.
Sin embargo existen varios problemas con el syslogd y el klogd, la principal es que
si un atacante logra acceso de root, podr modificar los archivos de bitcoras y
nadie lo notar.
Cada mensaje enviado al sistema de bitcoras tiene dos clasificadores: el servicio
y el nivel. El servicio indica el tipo de programa que envi el mensaje y el nivel es
el orden de importancia. Sysklogd y klogd no son los nicos sistemas para el
seguimiento de bitcoras, existen otros, entre los cuales podemos nombrar:
modular syslog. Firma digitalmente los registros de bitcora para que cualquier
alteracin en ellos sea inmediatamente detectable.
next generation syslog. Permite el firmado digital y adems puede clasificar los
registros de otras maneras (como patrones en los registros) adems del tipo de
servicio y el nivel.
Nsyslogd. Aade soporte para SSL (Secure Socket Layer) en la transmisin de
bitcoras a una computadora remota.

Configuracin del syslog
La lista de servicios disponibles en el syslogd es:

AUTH. Para mensajes de seguridad/autorizacin (obsoleto, ahora se utiliza
AUTHPRIV)
AUTHPRIV. Mensaje de seguridad/autorizacin
CRON. Para los servicios de tareas programadas (cron y at)
DAEMON. Servicios del sistema sin un servicio especificado
FTP. Servicio de ftp
KERN. Mensajes del kernel
LOCAL0 a LOCAL7. Reservados para uso local del equipo
LPR. Subsistema de impresin
MAIL. Subsistema de correo electrnico
NEWS. Subsistema de USENET
SYSLOG. Mensajes generados internamente por el syslogd
USER. Mensajes genricos a nivel de usuario
UUCP. Subsistema de UUCP

La lista de niveles disponibles para el syslogd es:

EMERGE. El sistema esta inservible
ALERT. Alguna accin debe ser tomada inmediatamente
CRIT. Condiciones crticas
ERR. Condiciones de error
WARNING. Condiciones de advertencia
NOTICE. Condicin normal pero significativa
INFO. Mensaje informativo
DEBUG. Mensaje de depuracin














Bibliografa
(s.f.). Recuperado el 21 de MAYO de 2014, de
http://danielomarrodriguez.blogspot.fr/2008/01/mejores-practicas-y-herramientas-
para.html
INGENIERIA DRIC. (s.f.). Recuperado el 21 de MAYO de 2014, de
http://www.manageengine.com.mx/network-monitoring/log-file-monitoring.html
INGENIERIA DRIC. (s.f.). Recuperado el 21 de MAYO de 2014, de
http://manageengine.com.mx/applications_manager/event-logs-monitoring.html