Protocolo syslog

  • 1,608 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,608
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
46
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. SYSLOGPROTOCOLO Y SERVICIOS A/C Miguel Machado
  • 2. LOG Registro de eventos o errores Formato Información Distribución de logs Recopilación y análisis costoso - imposible?
  • 3. SYSLOG El protocolo y servicios Syslog proveen un transporte y funcionalidades para el envío de mensajes a través de redes IP con el objetivo de centralizar servicios de log. http://www.winsyslog.com/en/
  • 4. PROTOCOLO SYSLOG RFC 3164 – The BSD Syslog Protocol 3195 – Reliable Delivery for Syslog 5424 - The Syslog Protocol - 03/2009 Estándar de formato para Mensajes Presenta conceptos del mapeo del transporte Describe elementos de datos estructurados No incluye formato de almacenamiento
  • 5. PROTOCOLO - Arquitectura Syslog utiliza tres capas: Contenido Información de gestión de un mensaje Aplicación Gestiona la generación, interpretación, ruteo y almacenamiento de mensajes Transporte Maneja el envió y recepción de mensajes.
  • 6. PROTOCOLO - Arquitectura http://www.employees.org/~lonvick/attachments/syslog-protocol.pdf
  • 7. PROTOCOLO - Arquitectura Fuente Genera el contenido del mensaje. (Cualquier dispositivo) Relay Reenviá los mensajes de fuentes u otros relays hacia los collectors. Collector Reúne y almacena los mensajes para futuro análisis Remitente de Transporte Receptor de Transporte Transformación de mensaje <-> protocolo de transporte
  • 8. PROTOCOLO - Arquitecturahttp://www.rfc-editor.org/rfc/rfc5424.txt
  • 9. Despliegue Modo Cliente Modo Relay
  • 10. Modos de Operación Modo Servidor/Collector http://www.balabit.com/dl/guides/syslog-ng-v3.0-guide-admin-en.pdf
  • 11. DespliegueDiagram 2. Some Possible Syslog Deployment Scenarios - http://www.rfc-editor.org/rfc/rfc5424.txt
  • 12. Transporte Protocolo de transporte NO especificado por Syslog Pero: Debe soportar transporte basado en TLS [RFC5425] Debe soportar transporte basado en UDP [RFC5426] Puertos por defecto: UDP: 514 TCP: 1468
  • 13. Formato de Mensaje – RFC 5424Formato:ABNF [RFC5234] http://www.rfc-editor.org/rfc/rfc5424.txt
  • 14. Formato de Mensaje – RFC 5424 SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG] HEADER: PRI – Prioridad VERSION – Versión de protocolo Syslog TIMESTAMP – Identifica cuando el mensaje fue creado HOSTNAME – FQDN o IP de la fuente APP-NAME – identifica el dispositivo o aplicación que origina el mensaje PROCID – nombre o ID del proceso asociado MSGID – identifica el tipo de mensaje
  • 15. Facilities - Prioridades La prioridad es calculada como: Priority = Facility * 8 + Nivel
  • 16. Formato de Mensaje – RFC 5424 STRUCTURED DATA: Conjunto de SD-ELEMENT Cada elemento tiene un SD-ID y un conjunto de pares Nombre- Valor - [timeQuality tzKnown="1" isSynced="1"syncAccuracy="60000000"] - [origin ip="192.0.2.1" ip="192.0.2.129"] MSG: provee información sobre el evento debe ser texto UNICODE, UTF-8 [RFC3629]
  • 17. Formato de Mensaje – RFC 5424 Ejemplo:<66>1 2003-10-11T22:14:15.003Z mymachine.example.comevntslog - ID47 [exampleSDID@0 iut="3" eventSource="Application" eventID="1011"] BOMAn applicationevent log entry...● Fuente: “mymachine.example.com”● Aplicacion: “evntslog”● PROCID: nulo “-”● MSGID: “ID47”
  • 18. SYSLOG - Servicio Funcionalidades principales Provee funcionalidades de logueo a aplicaciones y dispositivos Provee a administradores controles sobre los logs Flexibilidad Permite clasificar y priorizar de mensajes Los mensajes pueden ser enviados a múltiples destinos: ● Archivos de Log ● Terminales ● Otros Hosts para centralizar logs.
  • 19. Logs Centralizados Permite el control centralizado de logs de clusters Monitoreo centralizado con un único punto de acceso. Facilidades para Data Mining
  • 20. Troubleshooting Los mensajes de distintos sistemas pueden ser ordenados en un único sistema Mensajes relacionados desde distintos sistemas pueden ser correlacionados y consultados en un solo lugar Acceso a un único host de logueo en vez de múltiples sistemas Agregar información para facilitar la búsqueda
  • 21. Seguridad Centralización de logs permite que el auditado sea mas eficiente Patrones sospechosos pueden ser reconocidos mas fácilmente Facilita evaluaciones postmortem de brechas de seguridad.
  • 22. SYSLOG - Servicio
  • 23. Estrategias y Consideraciones Cantidad de Mensajes Determinada por archivos de conf (etc/syslog.conf) Determina cantidad de archivos y destinos Log Centralizado Necesario para administración de logs Destinos: ● Archivos de Log ● Terminales ● Otros Hosts para centralizar logs.
  • 24. IMPLEMENTACIONES Windows Kiwi Syslog Daemon WinSyslog NTSyslog Syslogserve HDC Syslog NetDecision LogVision Syslog Watcher Unix syslogd rsyslogd (TCP) sylog-ng
  • 25. KIWI Freeware Servicio http://www.kiwisyslog.com/ GUI -Kiwi Syslog Server TCP/UDP -Kiwi Syslog Daemon -Kiwi Syslog Client -Kiwi Syslog Harvester Archivado automático Estadísticas Alarmas y notificaciones
  • 26. KIWI
  • 27. WinSyslog http://www.winsyslog.com/ Optimizado para Windows Soporta 3164 & 3195 IU Amigable
  • 28. WinSyslog
  • 29. Syslog-ng http://www.balabit.com/network-security/syslog-ng/ TLS-Canal encriptado Compatibilidad múltiples plataformas Encriptado de logs, firmas digitales Manejo de eventos Soporta las últimos protocolos IETF Acceso directo a MSSQL, MySQL, Oracle, PostgreSQL y SQLite. Soporta ipv4 y ipv6
  • 30. Syslog-ng – PHP Interface
  • 31. Syslog-ng – PHP Interface
  • 32. Syslog-ng http://www.balabit.com/dl/guides/syslog-ng-v3.0-guide-admin-en.pdf
  • 33. Syslog4j Implementación cliente/servidor 100% http://syslog4j.org/ Java Libre. Implementa RFC3164 con soporte a TCP y Unix Sockets. Integrable con Apache Log4j (Syslog4jAppender)
  • 34. SYSLOG Preguntas y/o Comentarios? RFC 3164: http://www.ietf.org/rfc/rfc3164.txt3-RFC 3164: http://www.ietf.org/rfc/rfc3195.txt-SYSLOG: Vladislav Marinov, Jacobs University Bremen, Alemania http://www.faculty.jacobs-university.de/jschoenwae/nds-2008/marinov-syslog.pdf-Sitio Syslog: http://www.syslog.org/