Instalacin y configuracin de KIWI SYSLOG SERVER.

Publicado el Diciembre 1, 2009 por juancho294

KIWI SYSLOG SERVER.
Para poder tener una buena seguridad en nuestra red debemos comenzar por estar
pendientes de los movimientos en nuestros sistemas, en este caso podemos saber que
sucede gracias a los logs que estos guardan automticamente, pero es una tarea muy ardua y
complicada andar de equipo en equipo verificando cada movimiento de estos, por ello se
crearon los servidores de Logs o ms conocidos como syslogs, con ellos podemos
centralizar todos estos movimientos en una maquina, dndonos la posibilidad de conocer
los logs de cada equipo de nuestra red desde un solo servidor Syslog.
Para mi prctica decid implementar un software llamado Kiwi Syslog Server, este software
es de pago pero tambin tiene una versin free que es ms reducida, yo opte por la que me
ofreca un trial de 30 das, con el cual poda completar mi objetivo.
para comenzar nos iremos a este link http://www.kiwisyslog.com/, all descargaremos el
trial, solo basta con dejar nuestros datos personales. Damos clic en Download Now y
bajamos el instalador que pesa solo 28.1 MB.

Descomprimimos el paquete e instalamos el que dice Kiwi_syslog_server_9.0.3, con este
instalamos el servicio en Windows, cabe decir que kiwi Syslog server est disponible en su
instalacin como servidor solo para Windows, pero captura todos los logs de la red,
incluyendo los de los equipos activos.

Y comenzamos la instalacin. Automticamente se empieza a descomprimir el ejecutable

Aceptamos la licencia del producto

Seleccionamos la primera opcin que nos permite instalar este software como si fuera un
servicio de Windows, damos clic en Next.

Seleccionamos la primera opcin que dice The localSystem Account ya que necesitamos
tener una cuenta administradora para poder administrar nuestro servidor, en mi caso como
estaba logueado en la cuenta administrador escog esta opcin, de lo contrario debemos
proveer una con privilegios.

Adems de tener una interfaz grafica para su administracin, Kiwi Syslog Server tambin
tiene una interfaz va Web dndonos la posibilidad de administrarlo remotamente, por esto
seleccionamos las dos casillas que se muestran en el dialogo, pero debemos tener en cuenta
que esta opcin est disponible nicamente para la versin de pago o la de trial de 30 das.

Nos pide que le digamos que tipo de instalacin queremos para nuestro servicio, escogemos
la opcin normal y si queremos podemos deseleccionar algunas casillas que se muestran
all.

Escogemos la ruta de la instalacin del servicio, en mi caso lo deje por defecto. Clic en
Install.

Y ya comienza la instalacin de kiwi Syslog Server

Terminada la instalacin anterior se nos despliega automticamente la instalacin del
acceso web para Kiwi, entonces damos clic en Siguiente.

Para continuar con la instalacin nos dice que necesita unos prerrequisitos, tales como:
- Windows Installer 3.1.
- .Net Framework 2.
- Visual C++ 2008.
- Una versin bsica de SQL server.
- ASP.NET Ajax.
- UltiDev Cassini Web Server Explorer.
- UltiDev cassini Web Server.
No nos alarmemos, porque por ejemplo como yo ya tena instalado .Net Framework el
detecto que no lo necesitaba, pero los otros componentes automticamente los descarga e
instala, por eso es indispensable que tengamos una conexin a internet, damos clic en
Siguiente.

Vemos que el automticamente empieza la descarga e instalacin de los componentes
faltantes para su implementacin.

Terminado el proceso anterior comienza en si la instalacin del servicio web, clic en next

Aceptamos los trminos de la licencia, clic en Next.

Nos dice que si queremos que cree los acceso directos en esas ubicaciones.

Dejamos la ruta por defecto para su instalacin.

Escogemos la ruta de la raz del WebSite, y escogemos el puerto por el cual escuchara.

Escogemos en nombre de usuario y contrasea para el acceso Web

Damos clic en Install para comenzar su instalacin


Damos clic en Finish

Y automticamente nos dice que ya termino la instalacin completa de Kiwi Syslog Server

Esta es la ventana de administracin de nuestro Syslog

Ahora como debemos configurar un servidor para que enve los logs a este, entonces lo
probaremos con una mquina en Windows 2003 Server con un directorio activo
funcionando, para ello necesitamos un agente que nos permita hacer esto, no vamos a este
enlace http://www.intersectalliance.com/projects/SnareWindows/index.html all
buscaremos y descargaremos el agente para Windows server 2003, este agente es libre osea
que lo podemos instalar en cualquier equipo sin ninguna restriccin, despus de descargado
lo ejecutamos en nuestro directorio activo, damos clic en Next

Dejamos la ruta que tiene por defecto, aunque si queremos la podemos cambiar, clic en
Next.

Clic en Next

Nos pregunta que si queremos que l se encargue de manejar y controlar la configuracin
de los logs de nuestro sistema, seleccionamos la opcin que dice YES.

Nos pregunta que si queremos permitirle que instale la interfaz web para su administracin,
Next.

Nos muestra nuestras configuraciones, clic en install

Clic en next.

Ya para terminar damos clic en Finish.

Ahora nos vamos a Inicio, All programs, InterSect Alliance, clic en Snare For Windows

Automticamente nos abre un explorador con la interfaz web de Snare, damos clic al lado
derecho donde dice Network Configuration, en donde dice Destination Snare Server
Address colocamos la de nuestro Kiwi Syslog Server, colocamos el puerto por donde Kiwi
escucha que es el 514 y en Syslog Priority escogemos DYNAMIC, por ultimo guardamos
los cambios.

Para poder que los cambios surjan efecto tenemos que reiniciar el servicio SNARE, por ello
vamos a los servicios de Windows y buscamos el que se llama SNARE.

Reiniciamos este servicio, damos clic en restart.

Y vemos que inmediatamente nuestro Kiwi Syslog Server empieza a recibir los logs del
directorio activo, as hacemos para cualquier otro equipo en Windows. Si queremos hacerlo
con un sistema operativo Windows Vista debemos descargar el paquete para este sistema
operativo.

Configurar Sistema operativo Linux para que enve los logs a un servidor remoto.
En Debian Lenny debemos instalar el paquete Syslogd, ya que este no viene por defecto,
entonces en una consola con privilegios de root escribimos lo siguiente:
# apt-get install syslogd
Al terminar el proceso de instalacin nos vamos a editar el archivo /etc/Syslog.conf

En la parte superior escribimos *.* @IP_KIWI_SYSLOG_SERVER que para nuestro
caso era la 192.168.2.20

Guardamos y reiniciamos el demonio, para que tengan efecto los cambios:
# /etc/init.d/sysklogd stop
# /etc/init.d/sysklogd start

Configurar Router cisco para que enve mensajes de log a un servidor remoto.
Nos conectamos a nuestro router cisco desde una terminal, cuando entremos nos pasamos al
modo enable, cabe decir que este procedimiento lo realice en un router cisco 800:
Router>enable
Router# configure terminal
Router (config)# logging on
Router(config)# Logging Facility Local7
router (config)# Logging [Direccin ip del servidor que est corriendo Kiwi Syslog
Server]
Router(config)# exit
Router# copy running-config startup-config
Y nos saldr este aviso, por lo cual escribimos yes y damos Enter
Destination filename [startup-config]? yes
Configurar switch cisco para que enve mensajes de log a un servidor remoto
Esto lo prob en un Switch de capa 3 Cisco Catalyst 3550
Switch> enable
Switch# configure terminal
Switch(config)# logging trap warnings
Switch(config)# logging facility local7
Switch(config)# logging [Direccin ip del servidor que este corriendo Kiwi Syslog
Server]
Switch(config)# exit
Switch# copy running-config startup-config
Nos saldr esta advertencia y le decimos yes, Enter
Destination filename [startup-config]? yes
Interpretacin de un log:
Esta prueba la realice desde un equipo con Windows server 2003, el cual tena un directorio
activo, proced a instalar el agente como se explico anteriormente, y en el momento que
reinicie el servicio de cliente DHCP estos fueron los resultados que me mostro mi servidor
Kiwi Syslog Server:

El servidor me muestra los resultados organizados de forma que los de arriba son los ms
nuevos y los de abajo los ms viejos, este los organiza en tres columnas que son:
- Date: nos indica la fecha en que se emiti el log.
- Time: Hora en que se produjo el log.
- Priority: Prioridad que se le da al log.
- Hostname: Direccin ip del servidor que emiti el log.
- Message: Nos muestra el log tal cual lo emite Windows.
En esa grafica se ve que el tercer log nos indico que el servicio DHCP client paso a un
estado de parado, se emiti a las 16:30:38 desde el equipo llamado sena-
zjieyz4pri.trek.com,y fue ejecutado por el usuario administrator, es un log del sistema, la
hora de este equipo la cual era la 16:31:26, dndonos una informacin til la cual nos
indico que no estn sincronizadas las horas de los equipos de la red.
Es de aclara que este nos ofrece muchas formas de almacenamiento de los log, tales como
identificacin del tipo de log por colores, por carpetas o simplemente como lo hice yo en
mi practica, con un archivo txt, el cual se almacena en c:\Archivos de
programa\Syslogd\Logs\SyslogCatchAll.txt
A continuacin vemos una imagen la cual nos muestra el resultado de un log generado
desde una maquina con Linux, en este caso con Ubuntu 9.04, por motivo de reinicio del
demonio syslogd en nuestro caso con el comando:
# /etc/init.d/sysklogd restart