Filtros en syslog-ng Sirven para clasificar los mensajes basados en su contenido. Aceptan operadores booleanos (AND, OR, NOT) y las siguientes funciones: facility, level, program, host, match filter ciscofilter { facility(local3) and not host(server1); };
Configuración syslog-ng El comando log combina los elementos descritos anteriormente para generar una acción log {source(s_udp); filter(ciscofilter); destination(ciscofile); flags(final); };
MySQL y php-syslog-ng Una herramienta muy útil para un servidor central de syslog-ng Inserta cada mensaje en una simple tabla MySQL Permite hacer búsquedas basadas en diversos criterios Nodo de origen Rango de tiempo Prioridad Interfaz web
php-syslog-ng
php-syslog-ng
Consideraciones de Seguridad Restringir el tráfico syslog en el servidor central Sólo permitir que sus equipos envíen logs Por ejemplo, usar iptables:
# iptables -A INPUT -s 192.168.1.0/24 -p udp –dport 514 -j ACCEPT # iptables -A INPUT -s 0/0 -p udp –dport 514 -j REJECT
Swatch Simple Log Watcher Escrito en Perl Se monitorea los archivos de log buscando patrones (expresiones regulares). Despues, se lo hace una accion si una patron es encontrado.
Swatch ignore /things to ignore/
watchfor /NATIVE_VLAN_MISMATCH/ mail=root,subject=VLAN problem threshold type=limit,count=1,seconds=3600
watchfor /CONFIG_I/ mail=root,subject=Router config threshold type=limit,count=1,seconds=3600
Enlaces
php-syslog-ng: http://code.google.com/p/php-syslog-ng/ Swatch: http://swatch.sourceforge.net/
Referencias http://www.loganalysis.org/ Syslog NG http://www.balabit.com/network-security/syslog-ng/ Windows Event Log to Syslog: https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys SWATCH log watcher http://swatch.sourceforge.net/ http://www.loganalysis.org/sections/signatures/log-swatch-skendrick.txt http://www.loganalysis.org/ http://sourceforge.net/docman/display_doc.php?docid=5332&group_id=25401
| Página siguiente |