Está en la página 1de 16

c 

c


 
 
     

c  2

  es un estándar de facto para el envío de mensajes de registro en una red


informática IP. Por p p se conoce tanto al protocolo de red como a
la aplicación o biblioteca que envía los mensajes de registro.

Un mensaje de registro suele tener información sobre la seguridad del sistema, aunque puede
contener cualquier información. Junto con cada mensaje se incluye la fecha y hora del envío.

Usos

Es útil registrar, por ejemplo:

½ Un intento de acceso con contraseña equivocada


½ Un acceso OO  al sistema
½ Anomalías: variaciones en el funcionamiento normal del sistema
½ Alertas cuando ocurre alguna condición especial
½ Información sobre las actividades del sistema operativo
½ Errores del hardware o el software

También es posible registrar el funcionamiento normal de los programas; por ejemplo, guardar
cada acceso que se hace a un servidor web, aunque esto suele estar separado del resto de
alertas.

[editar]Protocolo

El protocolo p p es muy sencillo: existe un ordenador servidor ejecutando el servidor de


syslog, conocido como p p (demonio de syslog). El cliente envía un pequeño mensaje de
texto (de menos de 1024 bytes).

Los mensajes de syslog se suelen enviar vía UDP, por el puerto 514, en formato de texto
plano. Algunas implementaciones del servidor, como p p, permiten usar TCP en vez de
UDP, y también ofrecen Stunnel para que los datos viajen cifrados mediante SSL/TLS.

Aunque p p tiene algunos problemas de seguridad, su sencillez ha hecho que muchos
dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar
mensajes de varios tipos de sistemas en un solo repositorio central.

[editar]x  2
2  2
El mensaje enviado se compone de tres campos:

½ Prioridad
½ Cabecera
½ Texto

Entre todos no han de sumar más de 1024 bytes, pero no hay longitud mínima.

[editar]À

2

La 

es un número de 8 bits que indica tanto el Op (tipo de aparato que ha
generado el mensaje) como la p 
 (importancia del mensaje), números de 5 y 3 bits
respectivamente. Los códigos de recurso y severidad los decide libremente la aplicación, pero
se suele seguir una convención para que clientes y servidores se entiendan.
[editar]r
 2
2  2

Îstos son los códigos observados en varios sistemas. Fuente: RFC 3164.

Ñ 
 




 
 

 

 
 
 


 
 

 
 
      ! 
" 
 





  
# $
 

! 
% $
 
   $
 

& $
 ''()
* 
 


Ñ 
      ! 
 
 
+,)
 $
 
-,)
 . 
! 

 
 
$


 
" 
 


# ' Ñ
% ' 
& ' 
* ' 
Ñ ' 
 ' "
 ' #
 ' %
[editar]r
 2
2  

2

Los 3 bits menos significativos del campo 



  dan 8 posibles grados. Fuente: RFC 3164.

Ñ x 

 
 /   $

  


$
    
 


 
  
 0  
 x  


 
    


 
"     1
 
  $

#   
 
 2  
% 
 

$  

[editar]r2
2 2

2

Para conocer la prioridad final de un mensaje, se aplica la siguiente fórmula:

À

  Op     
 

Por ejemplo, un mensaje de kernel (Op=0) con  


 =0 (emergencia),
tendría À

  igual a  . Uno de FTP (11) de tipo información (6)
tendría  . Como se puede ver, valores más bajos indican mayor prioridad.

[editar]r    2

El segundo campo de un mensaje p p, la     , indica tanto el


 como
el  del ordenador que emite el mensaje. Esto se escribe en codificación ASCII (7
bits), por tanto es texto legible.

El primer campo,
, se escribe en formato * 2

2  , donde * son las


iniciales del nombre del mes en inglés, , es el día del mes, y el resto es la hora. No se
indica el año.

Justo después viene el  de ordenador (p  ), o la dirección IP si no se


conoce el nombre. No puede contener espacios, ya que este campo acaba cuando se
encuentra el siguiente espacio.

[editar] 2

Lo que queda de paquete p p al llenar la 



  y la O O es el propio   del
mensaje. Îste incluirá información sobre el proceso que ha generado el aviso,
normalmente al principio (en los primeros 32 caracteres) y acabado por un carácter no
alfanumérico (como un espacio, "Ê" o " "). Después, viene el contenido real del mensaje,
sin ningún carácter especial para marcar el final.

[editar]Historia

p p fue desarrollado por Eric Allman como parte del proyecto Sendmail, inicialmente
(años 1980) sólo para éste proyecto. Sin embargo, se comprobó que era muy útil, y otras
aplicaciones empezaron también a usar p p. Hoy en día (2005), p p está presente
por defecto en casi todos los sistemas Unix y GNU/Linux, y también se encuentran
diversas implementaciones de p p para otros sistemas operativos, como Microsoft
Windows.

Es ahora, después de tantos años, cuando p p está en proceso de convertirse en


estándar, para -entre otras cosas- poder mejorar la seguridad de sus
implementaciones. IETF asignó un grupo de trabajo, y en 2001, se documentó su
funcionamiento en el RFC 3164 [1]. Laestandarización del contenido del mensaje y de las
diferentes capas de abstracción están planificadas para 2006.

[editar]Implementaciones

½ UNIX:
½ sysklogd
½ rsyslogd: Implementa syslog sobre TCP y sigue el RFC 3195
½ syslog-ng: TCP, SSL, SQL
½ Windows 2000, 2003, XP:
½ HDC Syslog: parte de los productos HDC
½ Kiwi Syslog Daemon
½ NetDecision LogVision
½ WinSyslog
½ NTsyslog
½ Syslserve
½ Syslog Watcher
2

r   


   
        

   
 

          
         
 

    
     

     
  
    
    
 

      
 
!     
  

"      


  

  

  !
    
   
      

 

! 
   
          
         p p
 
   #
 $"
    

  
 
  
         
        % 

  
         
    
  %&'( 

       


 
   
   

     

    


!  
 
       
 
 

 
   
)  
  
*   

+,
       
  
   -.* /
 

  "  0 !)    


   !    


  
 1



     
   -

 p 

r 
  

/      


  )  

#   )
 
"  p p 
 2 

   


      

3

3  
r! 
 

   
 

     

% 

  
 
 
   "  

!     


 
  
333 


  
2
 ) 3332"4

a 


a 

-  

2
2  
   )"2 2 
  

' 
 

  
     
 ! r  
  
 
     
$ 

 
      , %%r0
5
6r787      
  !   
4

`   4  *     


 
`  4 * 

  ) 


 


 
` 4 *   
       
` ƒ4  *   ) $
` 
4  )      !   
 

  
2-97ƒ-20 


  
   
  
 
  

:  ;-
` 4 
 

  

  
 

  

` 6r784 )  
` Ë4r!  
2
  
2
`  4
!  
2 
2

0 

7
  
   
  !   
) 
 0       

 

"4 

  
  

! 

   +
   
  ) 
    
< 
  
 
        )    

7  
  
  
 2Ë22 2 , 
 */  
!   

 

%      
     

 2=22>2

/  

 #
   
 
 "
   

        
 7 !  
 
 
2    ) 

 

     

 2
 
      
  

! 

   

 
     

   = 


= 
 2    ) 
 


     



2    ,
 4 
    2    ) 


      

 2 

 =
 2    ) 

   

 
 2>>

 

 

!  )   

 /

  
   

 !


 
  )  


 !  

 /
   
"!  

        ) 
  
3
33 

0  )      ,%

   



 
*

 
      
     +     * 
 
-   
  *      ++
      ,  
  3
3 5 
   
       
 
       
  ) 
    *    

     



! 
  #    / 
 

   

'0 
   2?2



 !  )  




 ! 
  0) !

Ë a a aa 

       )   


    
     +
   
   ) *" 
      

*
-  
   )  0

  
  )      

/  


  
  
 
 #  
  

     


 )    0  
  ),
  

@  A

    - '0" 
  
  
@
  
   "

‰  pp 

/
    
 

0 
    
     
   

  
0   !  
 

   
  ) %%r0 #
   
 "  * !4 

   




a 

  


    
    

!       


%    



  
       

r  !


   
    * 

 ! !  
      
  
   
!
 0   
 
  4
 
 )     , !* 
   
,     
       

/ 
 )  !   ! 


 )     %%r0   333  
 !
 %%r0 ) 
  &  !

  
  
 4
      


a 

  
      
   
 
  
   
 
  ! 
 
!
    
   
  0    

   ) 
    
  *  

  3
  
  
!
 "


/       


     %   *

        



   


20    
  

 
 !
"

+
     

>=7 "  *
)2>=27     
2  2/  , 

 %%r0 ) 
    
 
  " !  2=24

     




a 

%  !     ,    )%%r0



  


   
   


333BCr  )    
-   
!


#
 
 
 )  %%r0  
  )  
   


&     !    


 
 ) %%r0
 %  
  
  !

    7
 
@- 
 )    
    ! 
3
3  


 
  



/       ) 


    
    !
  
     


 
0!  
)      D
+
  -  

 
 

2 
   
*
  


 , 
  ) 


 !

 p 
   p p  

/   
*
       


  
 
  ) 
   

  
 
   *

   )
 % 
      !    
    
  


 D   


#  
 #
 
   ) 
   
   ) 
    
 (-+   ) 
  
   ! , 
 
           

7     ) 


 ) $ 
 
 
 
  +   )      



  ) 
 " 
33
3  

 )          



 / /
8D       0B  ,  
  

    CB0 ,
  C

+* 
     ! 
  
 
  
  
   )      
  

    )   




 )  ! )   ,  

      

  , //E") 


   )
 
   
 
  
 
  

+D      


   
  
    

 +
     
  

         

  
 
  

  


  )  

  




  
 


 * +
  ,  

 ,
 
    
#
  

  *    
    ,  

      
 



pp p p p 

)
   

7 !
  
 
    
 
  

 
   
  )  +F 
 
          
    
 
            

  
      $ G"

 p pp    
7  
  
  
    

 
  
 
     

   $
)   , 
2BH ,  

$C2/    $"  ,    

*       




  
     3$
 


!       




 
 
3
3 3  3
3 3  $  $  
2  $2" 

    


 #
  * 

E  83
3 3  4-5  
 ) 

   ) 
   

 
2-
97ƒ-2      
 #    
 
 6  
   

   



 )    
      

0
  ) 
 
    

    ,  
  
      
    !  )

 
  
   
  
 


   
 


  ) 


Ë 



    )    
 
ËË
       9 )    
  "

0)   


   ) 

I5  
 333     !3
3
 
  

a  Ë 


a 

7
  
 !  *  
    !4

a

 
  ! a
6 
#    -:‘ ;    

  
 
  33    
  ) 


/ *  
     .'&-)
 
    *-     
 
 - 

   )  3
    



  
   -
 - 
  
 

33      ) 333


30  
   !3
3 3   !4

a  a !



 a


+
   

 ! #
 
 
 
 
E       ! 

 a !

 a


9      4
 

 a

 

  



a"


r  
  +F    

       

 
   
 
     

3
3  
 
      

 
 
% 


- 
    *  

 
4 
a

 
 #
 #
  
  - 
    
 
 )           


 

   0    
 

  *  
 * 

 "
 
 
  
   
          

0        *


 / 
     C/  )    
 

*  
      !  
 )   
 )  
  
    
  
  
 
!
   
  
  

   "

/  


   !
    -p p
  )  
 ,   
+r0   
 *
)  
         
)
   -     *
  

%-0         # )   
            -

/  )           
  
" 
  !    

 
    

 ) / 

 
-
     )  
 
 
*   
 
   *    
 )     %*     
*  
    -

%     *


     
 
  )   
 
@  

 

 
@  A    



   
 
 
      

 ,  
 
      

 ),
  

  

    
'0     
 

   
       "  ) 
    
      
  
  
) 
  

/         !  


@  
   
        
   
   
"    J

 
K"      +
     


 
@  A     * 
  
 

   %-0

       


 

7  )  


 
   
 
       *    

 
      
*   

!
 ! ) 
   7    

  
 
   
 #   

  
  

      !  


 7      
 ! *     

 
 
       )
 
    )
 
  , 
 " 
 


*      ) 

/     


        ) 

 2 2333 
 0 

  
   
  $ 
 
!
 

 4

a  a$  %     &      &

r          -   


 

  
3 
 +  ,  


       
 )

0   


  *    - 


       
 )
 

 
 
   
 ) ! 
 "    



   ) 
  



 4

a %  #  '  a'    (  &a ) 


a         ( &'  

x  !   )   
   
  


      
 

 )     
 
 

         


    


  

x      
  
 

    



 

      
 
     
   


  , >





 
    

   
 
  
"  
   
 
            DLLK   

6 M DLL 
         
 
# 

  

   

2222
2 2 2
22
22
222
2
22
222 2
 22
2

22222222
2
222222
2
 2222
22 2 2222  22 2
222 2 222 22
2
2 2p p22
22
22222 2
22 22
222 222 22
 2
2 22222
222222
222
 22 2 2!  22222
2
22 2 2
2 2222222 2"
2#22
2
22
2$2222222
#2222$ 22à  
à 
2#22
$2 
2%
2
222$ 22
22
2
2
2
2
2
 2 2
2 22 2222
2&2

públi   ienen  probabilidade de er objeto) de la red loal o Internet, inluo. De eta
anera, todo lo equipo enviarán in ediata ente de ualquier relaión evento del ite a en

el ervidor de  log, aegurándoe de que u regitro erán total ente exato y no-alterado
en todo o ento.

En ete artíulo e deriben on detalle ó o onfigurar un ervidor de ylog para uno o vario
ite a Unix, en Fedora Core y Ubuntu de Debian /. Sin e bargo, * que * el trabajo para ai
ualquier ditribuión de Linux.

r 
    


Yo etoy á eguro, i no todo, lo ite a Linux ya tiene intalado ylog aí que voy a o itir
ete pao.

- En pri er lugar, tendrá que detener el erviio de ylog:

å  :
r  
     

3   
r  



  * 

Si e etá ejeutando   , y eta edida fallan, ta bién tratan de:
r  



  
y i vuelve a fallar, a por el de la vieja euela atar o ando:
r  
 # +  
opiar el PID &nú ero de la egunda olu na) dede la línea de ylog y:
r  
* , -./

Eje plo: 
r  
 01%0 2 #  +  
34 567,, !! !5 889 778 
! : ; 5!57 !!!   <
34 56788 !! !5 57,6 =>7? : 5!56 !!!   a !
1  01%0 2 * , 56788

- A ontinuaión, tendrá que editar el ylog o ript de arranque para iniiar ylog de onio on
la opión "-r" del pabellón, o iniiar anual ente on ea bandera. "-R" e habilita la funión de
reepión a ditania, que per itirá a lo regitro de entrada.

å  :
- Abra „  „
      on u editor de texto favorito
- Buar la línea:
r  
:@:ABC/<B-D.BE:  &a !&
- Sutituirlo por:
r  
:@:ABC/<B-D.BE:  & a!&
- Reiniiar el de onio ylog:
r  
     

3   :
- Abra „  „
  
    on u editor de texto favorito
- Buar la línea:
r  
:@:ABC/  &  &
- Sutituirlo por:
r  
:@:ABC/  &  &
- Reiniiar el de onio ylog:
r  



*  

En a ba ditribuione e debe ver un enaje i ilar a "reiniiar ylog &reepión a ditania)
al ejeutar el o ando:
r  



a 

En    que ualquiera debe enontrar el arhivo ylog RC, editar y añadir la "r"
del pabellón de la opione de ylog o, i ha utilizado la euela o ando kill de edad, ólo tiene
que iniiar anual ente ylog:
r  
 

- En el pao final, uted tendrá que aegurare de que el firewall no etá bloqueando todo lo
paquete entrante. Bata on ejeutar ete o ando iptable por lo que ualquier nor a e
ree plaza:
r  
 . .E-FD  ! 5,657856 5,657855  =59) GHH-D  

Eta regla e aegurará de que el ervidor ylog &'().'*+.'.') reibirá lo paquete UDP &que
ontiene lo evento de regitro) del liente &'().'*+.'.)). Uted debe utituir eta direione
IP on la orreta. Ade á, tendrá que volver a ejeutar ete o ando por ada PC liente que
uted pueda tener &'().'*+.'.3, '().'*+.'.4, et).

A ontinuaión, agregue eta línea &o línea) para r.loal para que e ejeute ada vez que e
iniie el ite a.

r 

     

- Lo equipo liente etán onfigurado para enviar ualquier evento regitrado en el ervidor de
ylog, in ediata ente o o e produen lo evento. Para ello, edite el arhivo „
 
 en todo lo equipo liente y agregar eta línea al prinipio del arhivo:
r  
ËË  5,657855

Una vez á, ree plazar la direión IP de eje plo on la direión orreta del ervidor ylog
IP.

- A ontinuaión, reiniie el ylog en ada liente que ha editado:


r  
     
 B



* 
 B



 
 B
 # +  
* , -./
 

- Por últi o, aegúree de que la áquina del liente e per itido por el firewall para enviar
paquete UDP. Una vez á, uted puede anular ualquier regla ejeutando el o ando iptable:
r  
 . :GA./G  ! 5,657856 5,657855  =59) GHH-D  
Ade á, añadir eta línea a r.loal para que e ejeute en ada arranque del ite a.

Eto e todo. Si todo e hizo orreta ente, uted debe o enzar a reibir lo evento de regitro
al ervidor ylog. Para verlo, ejeute:
r  
 #


a 
IHDJA ; H    K
 #


 
IHDJA ; H    K
TENERENrENTA que la áquina que ejeuta el ylog entral debe er garantizado en la
ayor edida. Si e poible, ue una áquina que no hae uho en la red para que no e
aptura la atenión de ataante, de lo ontrario el únio propóito erá derrotado.2

También podría gustarte