Documentos de Académico
Documentos de Profesional
Documentos de Cultura
… los logs
nos dicen qué ha pasado …
Recolección local
¿Qué recojo? ¿Cómo lo clasifico?
Análisis
¿Qué busco?
Entrega de resultados
¿Cómo lo enseño?
Centralización de Logs: Syslog local
determinada
# Mensajes de kernel
FACULTAT D’INFORMÀTICA DE BARCELONA
kern.panic;kern.emerg;kern.alert;kern.crit;kern.err /syslog/kern_greu.log
kern.warning;kern.notice;kern.info /syslog/kern.log
user.debug /syslog/user.log
mail.debug /syslog/mail.log
daemon.debug /syslog/daemon.log
syslog.debug /syslog/syslog.log
lpr.emerg;lpr.alert;lpr.crit;lpr.notice /syslog/lpr.log
# Logs de SAMBA
local4.warning /syslog/samba.log
Hay que hacer una revisión de todas las aplicaciones de todos los
sistemas y hacer una tabla para agrupar los logs por categorías de
facilitys comunes
Centralización de Logs:
Tabla de facilitys centralizada
Facility Uso
kern Mensajes del kernel, reservado
kern.debug El ipfilter de linux va forzosamente a kern.*. Elegimos ponerlo en debug -> lo redirecionaremos al ip.log
user Mensajes de usuario, user.notice usado para mensajes de conexion de usuarios de FIBNETLESS
mail Mail
daemon Daemons varios: dns, dhcp, …
incluye script de actualizacion de fichero de firmas en ricino
auth ssh
syslog mensajes del syslog
lpr Impresoras
news Logs de windows -> Windows Security
uucp Logs de windows -> Windows System
cron
authpriv
ftp Amavis de ricino
ntp
log audit
log alert
clock daemon
local0 LOGS de firewalls (Linux ipfilter & Solaris iptables)
El ipfilter de Solaris va forzosamente al local0 --> OK -> lo redirecionaremos al ip.log
local1 usos locales
local2 usos locales
local3 LDAP
local4 samba
local5 Tripwire
local6 Redes - mensajes
local7 Para todo en general
Centralización de Logs: Windows
Windows (http://ntsyslog.sourceforge.net/)
¿Qué monitorizamos?
Procedimiento:
Obtenemos la lista completa de sucesos del sistema
• Knowledge Base artículos 299475 y 301677
(Descripciones de los sucesos de seguridad de Windows 2000)
Elegimos los mensajes que consideremos importantes
Escogemos las categorías que engloban todos estos mensajes
Centralizacion de Logs: política de Windows
Seguridad
FACULTAT D’INFORMÀTICA DE BARCELONA
Sistema
Aplicación
Centralización de Logs:otros
configurarlo:
switch1#conf t
switch1(config)#
switch1(config)# logging facility local6
switch1(config)# logging 192.168.1.2
switch1(config)# logging trap 4
Una vez hemos agrupado los logs por facility y los hemos
FACULTAT D’INFORMÀTICA DE BARCELONA
Otras decisiones:
FACULTAT D’INFORMÀTICA DE BARCELONA
¿Syslog o syslog-ng?
Nuestra experiencia es que syslog-ng es recomendable, pero no
imprescindible
Para una instalación nueva, yo lo instalaría desde el principio.
¿Envío encriptado ?
Syslog envía los mensajes en texto en claro. Nosotros no lo hemos creído
necesario, pero puede serlo en entornos muy seguros
Almacenamiento en una BD
Centralización de Logs: Análisis
Consejos:
FACULTAT D’INFORMÀTICA DE BARCELONA
log: /xxx/xarxes.log
ALL;;/Configured from console by .*/;"";OK;-;-;-
ALL;;/Attempted to connect to RSHELL from .*/;"";WARN;-;-;-
switch1,switch2;;/.* GigabitEthernet.*\/52 changed state to .*/;"";CRIT;-;-;-
switch1,switch2;;/.* GigabitEthernet.* changed state to .*/;"";NONE;-;-;-
ALL;;/psecure-violation error detected/;"";CRIT;-;-;-
ALL;;/.* FastEthernet.* changed state to .*/;"";NONE;-;-;-
ALL;;/FastEthernet.* is experiencing errors/;"";WARN;-;-;-
ALL;;/GigabitEthernet.* is experiencing errors/;"";WARN;-;-;-
ALL;;/list .* denied .*/;"";WARN;-;-;-
ALL;;/list .* permitted .*/;"";OK;-;-;-
ALL;;/FastEthernet.* link down\/up .* times per min/;"";NONE;-;-;-
router1,router2;;/GigabitEthernet.* link down\/up .* times per min/;"";CRIT;-;-;-
ALL;;/last message repeated/;"";NONE;-;-;- router1,router2;;/.*/;"";CRIT;-;-;-
ALL;;/.*/;"";CRIT;-;-;-
Centralización de Logs: Integración con Nagios III
Ventajas adicionales:
FACULTAT D’INFORMÀTICA DE BARCELONA
Notificaciones de scripts
específicos
Centralización: Documentación interesante
http://www.microsoft.com/spain/technet/seguridad/2000server/chapters/ch06secops.asp
Logsurfer+
http://www.samag.com/documents/s=9053/sam0403i/0403i.htm
Cross-Platform Event Reporting
http://www.samag.com/articles/2000/0009/
Remote System Logs via SSH
http://www.samag.com/documents/s=1149/sam0106s/0106s.htm
Sitio web sobre temas de logs. Buenos artículos y
referencias
http://www.loganalysis.org/
Guia de mensajes inesperados en los logs:
http://www.loganalysis.org/presentations/syslog_sans_webcast.pdf
Snare EventLog (LotusNotes, windows, … es GNU)
http://www.intersectalliance.com/projects/SnareWindows/index.html