SYSLOG

SYSLOG
PROTOCOLO
Y
SERVICIOS
LOG
Registro de eventos o errores
Formato
Información
Distribución de logs
Recopilación y análisis costoso - imposible?
SYSLOG
El protocolo y servicios Syslog proveen un
transporte y funcionalidades para el envío de
mensajes a través de redes IP con el objetivo
de centralizar servicios de log.
PROTOCOLO SYSLOG
RFC
3164 – The BSD Syslog Protocol
3195 – Reliable Delivery for Syslog
5424 - The Syslog Protocol - 03/2009
Estándar de formato para Mensajes
Presenta conceptos del mapeo del transporte
Describe elementos de datos estructurados
No incluye formato de almacenamiento
PROTOCOLO - Arquitectura
Syslog utiliza tres capas:
Contenido
Información de gestión de un mensaje
Aplicación
Gestiona la generación, interpretación, ruteo y
almacenamiento de mensajes
Transporte
Maneja el envio y recepción de mensajes.
PROTOCOLO - Arquitectura
PROTOCOLO - Arquitectura
Fuente
Genera el contenido del mensaje. (Cualquier dispositivo)
Relay
Reenviá los mensajes de fuentes u otros relays hacia los
collectors.
Collector
Reúne y almacena los mensajes para futuro análisis
Remitente de Transporte
Receptor de Transporte
Transformación de mensaje <-> protocolo de transporte
PROTOCOLO - Arquitectura
Transporte
Protocolo de transporte NO especificado por Syslog
Pero:
Debe soportar transporte basado en TLS [RFC5425]
Debe soportar transporte basado en UDP [RFC5426]
Puertos por defecto:
UDP: 514
TCP: 1468
Facilities - Prioridades
La prioridad es calculada como:
Priority = Facility * 8 + Nivel
SYSLOG - Servicio
Funcionalidades principales
Provee funcionalidades de logueo a aplicaciones y
dispositivos
Provee a administradores controles sobre los logs
Flexibilidad
Permite clasificar y priorizar de mensajes
Los mensajes pueden ser enviados a múltiples
destinos:
●
●
●
Archivos de Log
Terminales
Otros Hosts para centralizar logs.
Logs Centralizados
Permite el control centralizado de logs de
clusters
Monitoreo centralizado con un único punto de
acceso.
Facilidades para
Data Mining
Troubleshooting
Los mensajes de distintos sistemas pueden ser
ordenados en un único sistema
Mensajes relacionados desde distintos
sistemas pueden ser correlacionados y
consultados en un solo lugar
Acceso a un único host de logueo en vez de
múltiples sistemas
Agregar información para facilitar la búsqueda
Seguridad
Centralización de logs permite que el auditado
sea mas eficiente
Patrones sospechosos pueden ser reconocidos
mas fácilmente
Facilita evaluaciones postmortem de brechas
de seguridad.
Estrategias y Consideraciones
Cantidad de Mensajes
Determinada por archivos de conf (etc/syslog.conf)
Determina cantidad de archivos y destinos
Log Centralizado
Necesario para administración de logs
Destinos:
●
●
●
Archivos de Log
Terminales
Otros Hosts para centralizar logs.
IMPLEMENTACIONES
Windows
Kiwi Syslog Daemon
WinSyslog
NTSyslog
Syslogserve
HDC Syslog
NetDecision LogVision
Syslog Watcher
Unix
syslogd
rsyslogd (TCP)
sylog-ng
KIWI
Freeware
Servicio
GUI
TCP/UDP
Archivado automático
Estadísticas
Alarmas y notificaciones
http://www.kiwisyslog.com/
-Kiwi Syslog Server
-Kiwi Syslog Daemon
-Kiwi Syslog Client
-Kiwi Syslog Harvester
KIWI
WinSyslog
Optimizado para Windows
IU Amigable
WinSyslog
Syslog-ng
TLS-Canal encriptado
Compatibilidad múltiples plataformas
Encriptado de logs, firmas digitales
Manejo de eventos
Soporta las últimos protocolos IETF
Acceso directo a MSSQL, MySQL, Oracle,
PostgreSQL y SQLite.
Soporta ipv4 y ipv6
Syslog-ng – PHP Interface
Syslog-ng – PHP Interface
Syslog4j
Implementación cliente/servidor 100%
Java Libre.
http://syslog4j.org/
Implementa RFC3164 con soporte a TCP y
Unix Sockets.
Integrable con Apache Log4j (Syslog4jAppender)