Guia do Linux/Avançado/Arquivos e daemons de Log/Configurando um servidor de logs
Configurando um servidor de logs
[editar | editar código-fonte]As mensagens das máquinas de sua rede podem ser centralizadas em uma única máquina, isto facilita o gerenciamento, análise e solução de problemas que ocorrem nas máquinas da rede. Mais importante ainda é que qualquer invasão a estação de trabalho não será registrada localmente (podendo ser apagada posteriormente pelo invasor, isso é comum).
- Configurando o servidor de logs
- Adicione a opção -r ao iniciar o daemon
syslogd
para aceitar logs enviados das máquinas clientes. Na distribuiçãoDebian
modifique o arquivo/etc/init.d/sysklogd
colocando a opção -r na variável SYSLOGD e reinicie o serviço usando ./sysklogd restart.
Adicionalmente poderão ser usadas as opções -l máquina (é um "L" minúsculo não uma letra "I") para registrar o nome FQDN da máquina e -h para redirecionar conexões a outros servidores de logs (veja [#s-log-syslogd syslogd, Seção 6.2.1]).
- Configurando máquinas cliente
- Modifique o arquivo
/etc/syslogd.conf
(veja [#s-log-syslogd-exemplo Arquivo de configuraçãosyslog.conf
, Seção 6.2.1.1] colocando o nome do computador seguido de "@" para redirecionar as mensagens dos logs:
auth,authpriv.* @servlog *.*;auth,authpriv.none @servlog cron.* @servlog daemon.* @servlog kern.* -/var/log/kern.log kern.* @servlog lpr.* @servlog mail.* /var/log/mail.log user.* -/var/log/user.log user.* @servlog uucp.* -/var/log/uucp.log
E reinicie o daemon syslogd
da máquina cliente para re-ler o arquivo de configuração: killall -HUP syslogd ou /etc/init.d/sysklogd restart.
OBS1: Mantenha o relógio do servidor de logs sempre atualizado (use o chrony
ou outro daemon de sincronismo NTP para automatizar esta tarefa).
OBS2: É interessante compilar um daemon syslogd
personalizado modificando o nome e localização do arquivo /etc/syslog.conf
para enganar possíveis invasores. Isto pode ser modificado no arquivo syslogd.c
na linha:
#define _PATH_LOGCONF "/etc/syslog.conf"
Use a imaginação para escolher um nome de arquivo e localização que dificulte a localização deste arquivo.
OBS3: Em uma grande rede, é recomendável configurar um computador dedicado como servidor de log (desativando qualquer outro serviço) e configurar o iptables
para aceitar somente o tráfego indo para a porta UDP 514 (syslogd):
iptables -P INPUT DROP iptables -A INPUT -p udp --dport 514 -j ACCEPT