Protocolo syslog

3,140 views
2,790 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,140
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
80
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Protocolo syslog

  1. 1. SYSLOGPROTOCOLO Y SERVICIOS A/C Miguel Machado
  2. 2. LOG Registro de eventos o errores Formato Información Distribución de logs Recopilación y análisis costoso - imposible?
  3. 3. SYSLOG El protocolo y servicios Syslog proveen un transporte y funcionalidades para el envío de mensajes a través de redes IP con el objetivo de centralizar servicios de log. http://www.winsyslog.com/en/
  4. 4. PROTOCOLO SYSLOG RFC 3164 – The BSD Syslog Protocol 3195 – Reliable Delivery for Syslog 5424 - The Syslog Protocol - 03/2009 Estándar de formato para Mensajes Presenta conceptos del mapeo del transporte Describe elementos de datos estructurados No incluye formato de almacenamiento
  5. 5. PROTOCOLO - Arquitectura Syslog utiliza tres capas: Contenido Información de gestión de un mensaje Aplicación Gestiona la generación, interpretación, ruteo y almacenamiento de mensajes Transporte Maneja el envió y recepción de mensajes.
  6. 6. PROTOCOLO - Arquitectura http://www.employees.org/~lonvick/attachments/syslog-protocol.pdf
  7. 7. PROTOCOLO - Arquitectura Fuente Genera el contenido del mensaje. (Cualquier dispositivo) Relay Reenviá los mensajes de fuentes u otros relays hacia los collectors. Collector Reúne y almacena los mensajes para futuro análisis Remitente de Transporte Receptor de Transporte Transformación de mensaje <-> protocolo de transporte
  8. 8. PROTOCOLO - Arquitecturahttp://www.rfc-editor.org/rfc/rfc5424.txt
  9. 9. Despliegue Modo Cliente Modo Relay
  10. 10. Modos de Operación Modo Servidor/Collector http://www.balabit.com/dl/guides/syslog-ng-v3.0-guide-admin-en.pdf
  11. 11. DespliegueDiagram 2. Some Possible Syslog Deployment Scenarios - http://www.rfc-editor.org/rfc/rfc5424.txt
  12. 12. Transporte Protocolo de transporte NO especificado por Syslog Pero: Debe soportar transporte basado en TLS [RFC5425] Debe soportar transporte basado en UDP [RFC5426] Puertos por defecto: UDP: 514 TCP: 1468
  13. 13. Formato de Mensaje – RFC 5424Formato:ABNF [RFC5234] http://www.rfc-editor.org/rfc/rfc5424.txt
  14. 14. Formato de Mensaje – RFC 5424 SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG] HEADER: PRI – Prioridad VERSION – Versión de protocolo Syslog TIMESTAMP – Identifica cuando el mensaje fue creado HOSTNAME – FQDN o IP de la fuente APP-NAME – identifica el dispositivo o aplicación que origina el mensaje PROCID – nombre o ID del proceso asociado MSGID – identifica el tipo de mensaje
  15. 15. Facilities - Prioridades La prioridad es calculada como: Priority = Facility * 8 + Nivel
  16. 16. Formato de Mensaje – RFC 5424 STRUCTURED DATA: Conjunto de SD-ELEMENT Cada elemento tiene un SD-ID y un conjunto de pares Nombre- Valor - [timeQuality tzKnown="1" isSynced="1"syncAccuracy="60000000"] - [origin ip="192.0.2.1" ip="192.0.2.129"] MSG: provee información sobre el evento debe ser texto UNICODE, UTF-8 [RFC3629]
  17. 17. Formato de Mensaje – RFC 5424 Ejemplo:<66>1 2003-10-11T22:14:15.003Z mymachine.example.comevntslog - ID47 [exampleSDID@0 iut="3" eventSource="Application" eventID="1011"] BOMAn applicationevent log entry...● Fuente: “mymachine.example.com”● Aplicacion: “evntslog”● PROCID: nulo “-”● MSGID: “ID47”
  18. 18. SYSLOG - Servicio Funcionalidades principales Provee funcionalidades de logueo a aplicaciones y dispositivos Provee a administradores controles sobre los logs Flexibilidad Permite clasificar y priorizar de mensajes Los mensajes pueden ser enviados a múltiples destinos: ● Archivos de Log ● Terminales ● Otros Hosts para centralizar logs.
  19. 19. Logs Centralizados Permite el control centralizado de logs de clusters Monitoreo centralizado con un único punto de acceso. Facilidades para Data Mining
  20. 20. Troubleshooting Los mensajes de distintos sistemas pueden ser ordenados en un único sistema Mensajes relacionados desde distintos sistemas pueden ser correlacionados y consultados en un solo lugar Acceso a un único host de logueo en vez de múltiples sistemas Agregar información para facilitar la búsqueda
  21. 21. Seguridad Centralización de logs permite que el auditado sea mas eficiente Patrones sospechosos pueden ser reconocidos mas fácilmente Facilita evaluaciones postmortem de brechas de seguridad.
  22. 22. SYSLOG - Servicio
  23. 23. Estrategias y Consideraciones Cantidad de Mensajes Determinada por archivos de conf (etc/syslog.conf) Determina cantidad de archivos y destinos Log Centralizado Necesario para administración de logs Destinos: ● Archivos de Log ● Terminales ● Otros Hosts para centralizar logs.
  24. 24. IMPLEMENTACIONES Windows Kiwi Syslog Daemon WinSyslog NTSyslog Syslogserve HDC Syslog NetDecision LogVision Syslog Watcher Unix syslogd rsyslogd (TCP) sylog-ng
  25. 25. KIWI Freeware Servicio http://www.kiwisyslog.com/ GUI -Kiwi Syslog Server TCP/UDP -Kiwi Syslog Daemon -Kiwi Syslog Client -Kiwi Syslog Harvester Archivado automático Estadísticas Alarmas y notificaciones
  26. 26. KIWI
  27. 27. WinSyslog http://www.winsyslog.com/ Optimizado para Windows Soporta 3164 & 3195 IU Amigable
  28. 28. WinSyslog
  29. 29. Syslog-ng http://www.balabit.com/network-security/syslog-ng/ TLS-Canal encriptado Compatibilidad múltiples plataformas Encriptado de logs, firmas digitales Manejo de eventos Soporta las últimos protocolos IETF Acceso directo a MSSQL, MySQL, Oracle, PostgreSQL y SQLite. Soporta ipv4 y ipv6
  30. 30. Syslog-ng – PHP Interface
  31. 31. Syslog-ng – PHP Interface
  32. 32. Syslog-ng http://www.balabit.com/dl/guides/syslog-ng-v3.0-guide-admin-en.pdf
  33. 33. Syslog4j Implementación cliente/servidor 100% http://syslog4j.org/ Java Libre. Implementa RFC3164 con soporte a TCP y Unix Sockets. Integrable con Apache Log4j (Syslog4jAppender)
  34. 34. SYSLOG Preguntas y/o Comentarios? RFC 3164: http://www.ietf.org/rfc/rfc3164.txt3-RFC 3164: http://www.ietf.org/rfc/rfc3195.txt-SYSLOG: Vladislav Marinov, Jacobs University Bremen, Alemania http://www.faculty.jacobs-university.de/jschoenwae/nds-2008/marinov-syslog.pdf-Sitio Syslog: http://www.syslog.org/

×