Instalando e configurando o servidor Syslog no Linux Debian

14 de janeiro de 2016

Uma das partes mais importantes da gestão de uma rede é o gerenciamento de mensagens de log, pois elas possuem a finalidade de informar e registrar sobre a base regular dos eventos que estão ocorrendo no sistema. Imaginem que o seu servidor foi invadido e o atacante apagou os logs do servidor, se você possui um servidor de logs em sua rede. Neste caso você poderá realizar a análise dos logs do servidor que foi invadido e poderá entender um pouco melhor o que aconteceu. 

Vou apresentar de forma simples como instalar e configurar o servidor de logs no Linux Debian.

2015_08_Adriano_Bezerra_Servidor_Syslog_Linux_01

1 – Antes de iniciar a instalação, vamos verificar se tem alguma atualização pendente:

#apt-get update
#apt-get install syslog-ng

Observação: O padrão do Debian é o rsyslog, então ele vai perguntar se você quer remover o rsyslog, pressione Y para confirmar e depois para instalar.

2 – Assim que finalizar a instalação, vamos editar o arquivo de configuração com editor “vi”:

#vi /etc/syslog-ng/syslog-ng.conf

3 – Definindo a origem e o protocolo, no exemplo vamos utilizar o protocolo UDP para gerar menos tráfego na rede:

source log_bigip { udp();};

4 – Configurar as máquinas remotas, no nosso exemplo, configuramos apenas um HOST (BIGIP):

filter f_bigip01 { netmask(192.168.2.10); };

5 – Configurar o local de armazenamento dos logs que serão enviados para ele:

destination d_bigip01 { file(“/var/log/bigip01.log”); };
6 – Ativar a configuração:

log { source(log_bigip); filter(f_bigip01); destination(d_bigip01); };

Salve o arquivo (:wq) e reinicie o syslog-ng:

Agora podemos configurar o BIGIP para enviar os logs para um servidor remoto à http://techcenter.agilitynetworks.com.br/index.php?option=com_content&view=article&id=573:configurando-o-syslog-remoto-no-bigip-11-5-1&catid=94:entrega-de-aplicacoes&Itemid=878
Logs são muito importantes para a administração segura de sistemas, pois registram informações sobre o seu funcionamento e sobre eventos por eles detectados. Muitas vezes, os logs são o único recurso que um administrador possui para descobrir as causas de um problema ou comportamento anômalo.

Posts relacionados