SYSLOG – počúvajte svoju sieť

V sieti sa neustále niečo deje a udalosti sa následne do logov. Aby sme o logy neprišli, môžeme ich posielať na SYSLOG server, kde budú zálohované. Ukážeme si, ako nastaviť SYSLOG server v kombinácii s Cisco routrom.

syslog

Logy sú esenciálne napríklad pri hľadaní problému v sieti, alebo pri monitoringu rôznych udalostí na zariadeniach. Napríklad, útočníci sa po vniknutí do systému často snažia zmazať po sebe stopy, avšak, keď logy zálohujeme, bude pre neho náročnejšie po sebe „pozametať“.

SYSLOG je štandard, ktorý zabezpečuje centrálne zhromažďovanie logov zo zariadení. Zariadenia posielajú svoje logy na SYSLOG server, ktorý ich následne ukladá do súborov.

Konfigurácia SYSLOG severa

Ukážeme si príklad nastavenia open-source riešenia RSYSLOG, ktoré bude bežať na  Linuxovej distribúcii Ubuntu 16.04 . V tejto distribúcii je defaultne vstavaný, takže ho netreba inštalovať, ale iba nastaviť a spustiť.

Všetko nastavujeme v konfiguračnom súbore nižšie:

/etc/rsyslog.conf

Odkomentujeme nasledovné riadky

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

Pridáme nasledovné riadky

$template IpTemplate,"/var/log/%FROMHOST-IP%.log"
*.* ?IpTemplate
& ~

Týmto si zvolíme, kam sa budú logy ukladať a formát názvu cieľového súboru. V tomto prípade sa budú súbory nazývať podľa IP adresy zariadenia, z ktorého prichádzajú (X.X.X.X.log). Daný priečinok by mal mať práva na zapisovanie.

Spustenie

Keďže nám táto služba bežala defaultne, len nepríjmala žadne logy, stačí, ak ju iba reštartujeme, aby sa aplikovali naše zmeny v konfigurácii.

service rsyslog restart

Nastavenie odosielania logov na Cisco routri

Nastavíme IP adresu servera a ak je to potrebné, tak aj zdrojovú IP adresu, z ktorej dané zariadenie posiela logy.

R1-NETVEL(config)#logging host 172.16.80.102
R1-NETVEL(config)#logging source-interface Vlan3

Aby logy obsahovali aj správnu časovú značku, je vhodné, aby ste na routri mali nastavený aj NTP server.

Záver

Ako vidíme, ide o jednoduchú implementáciu na strane servera aj na strane zariadenia. Úžitok je pritom obrovský.

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.


Picture of Matej Šipkovský

Matej Šipkovský

Spoločnosť NETVEL s.r.o. založil Matej Šipkovský, ktorý sa venuje najmä implementácii sieťových riešení a sieťovej bezpečnosti pre firemných klientov. Študoval na Slovenskej Technickej Univerzite v Bratislave na Fakulte Elektrotechniky a Informatiky odbor Telekomunikácie, kde dokončil inžinierske štúdium. Počas školy získal certifikát Cisco CCNP Routing & Switching a neskôr pribudli certifikácie Cisco Certified Design Professional (CCDP), CCNA Security, AWS Certified Cloud Practitioner, ITILv4 Foundation a Fortinet Network Security Architect NSE7.
Picture of Matej Šipkovský

Matej Šipkovský

Spoločnosť NETVEL s.r.o. založil Matej Šipkovský, ktorý sa venuje najmä implementácii sieťových riešení a sieťovej bezpečnosti pre firemných klientov. Študoval na Slovenskej Technickej Univerzite v Bratislave na Fakulte Elektrotechniky a Informatiky odbor Telekomunikácie, kde dokončil inžinierske štúdium. Počas školy získal certifikát Cisco CCNP Routing & Switching a neskôr pribudli certifikácie Cisco Certified Design Professional (CCDP), CCNA Security, AWS Certified Cloud Practitioner, ITILv4 Foundation a Fortinet Network Security Architect NSE7.
Zdieľať príspevok:

Súvisiace príspevky