Saltar para o conteúdo

Guia do Linux/Avançado/Arquivos e daemons de Log/Configurando um servidor de logs

Origem: Wikilivros, livros abertos por um mundo aberto.

Configurando um servidor de logs

[editar | editar código-fonte]

As mensagens das máquinas de sua rede podem ser centralizadas em uma única máquina, isto facilita o gerenciamento, análise e solução de problemas que ocorrem nas máquinas da rede. Mais importante ainda é que qualquer invasão a estação de trabalho não será registrada localmente (podendo ser apagada posteriormente pelo invasor, isso é comum).

Configurando o servidor de logs
Adicione a opção -r ao iniciar o daemon syslogd para aceitar logs enviados das máquinas clientes. Na distribuição Debian modifique o arquivo /etc/init.d/sysklogd colocando a opção -r na variável SYSLOGD e reinicie o serviço usando ./sysklogd restart.

Adicionalmente poderão ser usadas as opções -l máquina (é um "L" minúsculo não uma letra "I") para registrar o nome FQDN da máquina e -h para redirecionar conexões a outros servidores de logs (veja [#s-log-syslogd syslogd, Seção 6.2.1]).

Configurando máquinas cliente
Modifique o arquivo /etc/syslogd.conf (veja [#s-log-syslogd-exemplo Arquivo de configuração syslog.conf, Seção 6.2.1.1] colocando o nome do computador seguido de "@" para redirecionar as mensagens dos logs:
     auth,authpriv.*                 @servlog
     *.*;auth,authpriv.none          @servlog
     cron.*                          @servlog
     daemon.*                        @servlog
     kern.*                          -/var/log/kern.log
     kern.*						@servlog
     lpr.*                           @servlog
     mail.*                          /var/log/mail.log
     user.*                          -/var/log/user.log
     user.*						@servlog
     uucp.*                          -/var/log/uucp.log

E reinicie o daemon syslogd da máquina cliente para re-ler o arquivo de configuração: killall -HUP syslogd ou /etc/init.d/sysklogd restart.

OBS1: Mantenha o relógio do servidor de logs sempre atualizado (use o chrony ou outro daemon de sincronismo NTP para automatizar esta tarefa).

OBS2: É interessante compilar um daemon syslogd personalizado modificando o nome e localização do arquivo /etc/syslog.conf para enganar possíveis invasores. Isto pode ser modificado no arquivo syslogd.c na linha:


     #define _PATH_LOGCONF   "/etc/syslog.conf"

Use a imaginação para escolher um nome de arquivo e localização que dificulte a localização deste arquivo.

OBS3: Em uma grande rede, é recomendável configurar um computador dedicado como servidor de log (desativando qualquer outro serviço) e configurar o iptables para aceitar somente o tráfego indo para a porta UDP 514 (syslogd):


     iptables -P INPUT DROP
     iptables -A INPUT -p udp --dport 514 -j ACCEPT