De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: André Luiz Facina
Data de Publicação: 13 de outubro de 2008
Com o syslog-ng é possível receber logs de outros dispositivos e arquivá-los em arquivos separados, ajudando na centralização de dados e consequentamente na administração da rede. (O syslog também permite receber logs de outros dispositivos/computadores, porém ele não é muito flexível em comparação ao syslog-ng, o que acaba dificultando na coleta de informações)
Abaixo segue a configuração do cisco e do syslog-ng ( Muito simples )
Configurando o dispositivo Cisco
# configure terminal (config)# logging xx.xx.xx.xx ( onde o x é o ip da máquina Linux que receberá os logs )
Configurando o Syslog-ng
Edite o arquivo /etc/syslog-ng.conf e inclua as seguintes informações. Em
algumas distribuições ele pode ficar em /etc/syslog-ng/syslog-ng.conf
# Configurando a origem das informações
# Troque o xx pelo ip do dispositivo cisco
source cisco1721 { udp(ip(xx.xx.xx.xx) port(514)); };
# Onde os logs serão armazenados
destination d_log_cisco { file("/var/log/cisco.log"); };
# Aplicando filtros nos logs
filter f_cisco_info { level(info); };
filter f_cisco_notice { level(notice); };
filter f_cisco_warn { level(warn); };
filter f_cisco_crit { level(crit); };
filter f_cisco_err { level(err); };
# Origem, filtro, destino
log { source(cisco1721); filter(f_cisco_info); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_notice); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_warn); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_crit); destination(d_log_cisco); };
log { source(cisco1721); filter(f_cisco_err); destination(d_log_cisco); };
#EOF
Pronto, dessa forma todos os eventos no dispositivo Cisco serão enviados ao Linux. Isso permite criar uma política de segurança onde todos os logs são armazenados em um computador central e que em casos de comprometimento de algum dispositivo, você ainda terá como identificar o invasor, exceto nos casos em que ele também comprometer a máquina de log's =)
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários