Enviando os log para um servidor centralizado¶
Servidores de log centralizados são uma das medidas de segurança que podemos utilizar em nossas redes. Com estes servidores facilitamos o processo de backup e a gestão dos logs de vários hosts. Neste ponto central, para onde os log estão sendo enviados, podemos utilizar uma série de ferramentas para realizar a análise das mensagens e assim identificar possíveis incidentes.
Para configurar o envio das mensagens de log, geradas pelos deamons e outras aplicações ativas na maquina local, para um servidor de log remoto precisamos criar um novo arquivo de configuração que será utilizado pelo daemon do rsyslog
Comando :
sudo nano /etc/rsyslog.d/00-logservidores.conf
Com o arquivo aberto devemos adicionar as seguintes linhas:
Configurações :
## ----------------------------------------------------------------------
# Envia as mensagens de log para o servidor 10.10.30.254
## ----------------------------------------------------------------------
# Arquivo: /etc/rsyslog.d/00-logservidores.conf
## ----------------------------------------------------------------------
*.* @10.10.30.254
A linha que começa com *.* , informa ao rsyslog da maquina local para onde deve enviar todas as mensagens de log. Neste exemplo o endereço ip do servidor é 10.10.30.254
Após estes ajustes devemos executar os seguintes comandos:
Comando :
sudo systemctl restart rsyslog
sudo systemctl status rsyslog
O ultimo comando deve gerar uma saída semelhante à:
Saída :
● rsyslog.service - System Logging Service
Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2020-06-23 11:43:14 -03; 4s ago
TriggeredBy: ● syslog.socket
Docs: man:rsyslogd(8)
https://www.rsyslog.com/doc/
Main PID: 42412 (rsyslogd)
Tasks: 4 (limit: 9451)
Memory: 1.0M
CGroup: /system.slice/rsyslog.service
└─42412 /usr/sbin/rsyslogd -n -iNONE
jun 23 11:43:14 localhost.local systemd[1]: Starting System Logging Service...
jun 23 11:43:14 localhost.local rsyslogd[42412]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (>
jun 23 11:43:14 localhost.local systemd[1]: Started System Logging Service.
jun 23 11:43:14 localhost.local rsyslogd[42412]: rsyslogd's groupid changed to 110
jun 23 11:43:14 localhost.local rsyslogd[42412]: rsyslogd's userid changed to 104
jun 23 11:43:14 localhost.local rsyslogd[42412]: [origin software="rsyslogd" swVersion="8.2001.0" x-pid="42412">
Para verificar se os logs estão sendo enviados podemos utilizar o comando ´tcpdump´.
Comando :
sudo tcpdump -i ens160 dst 10.10.30.254
Que deve gerar uma saída semelhante à:
Saída :
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens160, link-type EN10MB (Ethernet), capture size 262144 bytes
11:49:17.191849 ARP, Request who-has 10.10.30.254 tell localhost.local, length 28
11:49:22.775061 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 268
11:49:36.611212 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 267
11:49:51.563121 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 268
11:49:56.615870 ARP, Request who-has 10.10.30.254 tell localhost.local, length 28
11:49:58.846101 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 269
11:50:00.394135 ARP, Request who-has 10.10.30.254 tell vmhostacesso1.noc.lncc.br, length 46
11:50:15.640721 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 269
11:50:24.788401 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 267
11:50:29.895869 ARP, Request who-has 10.10.30.254 tell localhost.local, length 28
11:50:39.617906 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 267
11:50:44.396692 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG auth.info, length: 115
11:50:44.396709 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG auth.info, length: 102
11:50:44.397055 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG authpriv.info, length: 101
11:50:44.399532 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG daemon.info, length: 67
11:50:44.400200 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG auth.info, length: 101
11:50:44.400742 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG auth.info, length: 67
11:50:49.090981 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG auth.info, length: 111
11:50:49.092092 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG authpriv.info, length: 112
11:50:49.094524 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG auth.info, length: 85
11:50:49.095060 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG daemon.info, length: 80
11:50:54.908061 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 268
11:51:00.103861 ARP, Request who-has 10.10.30.254 tell localhost.local, length 28
11:51:00.854300 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 269
11:51:18.390554 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 269
11:51:27.800103 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 268
11:51:32.871859 ARP, Request who-has 10.10.30.254 tell localhost.local, length 28
11:51:35.620343 IP localhost.local.43756 > 10.10.30.254.syslog: SYSLOG kernel.debug, length: 266
^C
28 packets captured
28 packets received by filter
0 packets dropped by kernel
Com isto finalizamos o processo de configuração e o daemon do rsyslog deve estar enviado os logs gerados localmente para o nosso servidor de log centralizado (10.10.30.254)
