Logs a maquinas remotas

Una de las “reglas básicas”… no dejes los logs en las maquinas locales, si alguien entra y los borrá (que lo hará) estas jodido…

La solución es rápida y sencilla, montate un linux con el syslog escuchando (rsyslogd con la opción -c3),.

Rsyslog te permite poner reglas para diferenciar las maquinas de las que recibes logs y guardarlos en diferentes ficheros, si tienes muchas maquinas, es algo que se agradece.

Las reglas son del tipo:

:fromhost, isequal, “xx.xx.xx.xx” -/var/log/milinux.log -> para mover cualquier entrada que reciba de xx.xx.xx.xx (ojo con la resolución de nombres).

:fromhost, isequal, “xx.xx.xx.xx” ~ -> Para borrar la entrada (que se ha movido previamente). Si no lo pones duplicas la entrada.

Todo esto en /etc/rsyslogd.conf, añades, reinicias y listo…

Abre el puerto 514 udp en el firewall y toca las siguientes reglas en el smartdefense para dejarlo pasar.

Block Non-standard source ports no se porque… pero a veces haciendo forward desde maquinas windows sale este error y corta el paquete.
, el error que aparece en en log es bastante descriptivo (cosas rara, pero de agradecer). “The source port of a syslog message is no UDP/514”.

Block Message Length Violations: Este no hace falta deshabilitarlo (yo no suelo deshabilitarlos, los pongo en modo monitor), pero si hay que subir el tamaño de paquete (a mi con 1024 me funciona).

Apply Malicious Code Protection (MCP) for syslog::Pues eso, si no lo desactivas no hay forma.,

Una vez abiertos los puertos puedes empezar a meter logs, para hacerlo tienes que añadir la linea:

*.* (o el trozo de log que quieras mover) @ipdelservidordelogs

Reinicias el syslog (/etc/init.d/rsyslog restart) y deberias empezar a ver los paquetes pasar de uno a otro.

También puedes mover los logs de maquinas windows, yo suelo usar Ossec y Snare for windows.

Comments are closed.