Académique Documents
Professionnel Documents
Culture Documents
Centralizacin de logs:
Una experiencia real
Daniel Snchez Dorado
dani@fib.upc.edu
Recoleccin local
Qu envo?
Anlisis
Qu busco?
Entrega de resultados
Cmo lo enseo?
-/var/log/warn
/var/log/warn
#
# Some foreign boot scripts require local7
#
local0,local1.*
-/var/log/localmessages
local2,local3.*
-/var/log/localmessages
/syslog/kern_greu.log
/syslog/kern.log
/syslog/samba.log
/syslog/tripwire.log
Hay que hacer una revisin de todas las aplicaciones de todos los
sistemas y hacer una tabla para agrupar los logs por categoras de
facilitys comunes
Centralizacin de Logs:
Tabla de facilitys centralizada
Qu monitorizamos?
Procedimiento:
Sistema
Aplicacin
Centralizacin de Logs:otros
Una vez hemos agrupado los logs por facility y los hemos
sincronizado en todos los servidores, simplemente hemos de
indicar al syslog que enve los logs remotos, pero
Qu enviamos? Todo?
Centralizacin de Logs
@nodo-central
@nodo-central
@nodo-central
Syslog o syslog-ng?
Nuestra experiencia es que syslog-ng es recomendable, pero no
imprescindible
Para una instalacin nueva, yo lo instalara desde el principio.
Envo encriptado ?
Syslog enva los mensajes en texto en claro. Nosotros no lo hemos credo
necesario, pero puede serlo en entornos muy seguros
Almacenamiento en una BD
Logsurfer+
Swatch
0 '' '$1'
1 '' '$1'
0 '' '$1'
watchfor /(.*)/
exec perl /home/soft/swatch/send_alarm switch1:switch2'
2 '' '$1'
0 '' '$1
Ventajas adicionales
Ventajas adicionales:
Logs remotos dan seguridad
aadida ya que no pueden ser
modificados
Notificaciones de scripts
especficos
Logsurfer+
http://www.samag.com/documents/s=9053/sam0403i/0403i.htm