2. LOG
Registro de eventos o errores
Formato
Información
Distribución de logs
Recopilación y análisis costoso - imposible?
3. SYSLOG
El protocolo y servicios Syslog proveen un
transporte y funcionalidades para el envío de
mensajes a través de redes IP con el objetivo
de centralizar servicios de log.
http://www.winsyslog.com/en/
4. PROTOCOLO SYSLOG
RFC
3164 – The BSD Syslog Protocol
3195 – Reliable Delivery for Syslog
5424 - The Syslog Protocol - 03/2009
Estándar de formato para Mensajes
Presenta conceptos del mapeo del transporte
Describe elementos de datos estructurados
No incluye formato de almacenamiento
5. PROTOCOLO - Arquitectura
Syslog utiliza tres capas:
Contenido
Información de gestión de un mensaje
Aplicación
Gestiona la generación, interpretación, ruteo y
almacenamiento de mensajes
Transporte
Maneja el envió y recepción de mensajes.
7. PROTOCOLO - Arquitectura
Fuente
Genera el contenido del mensaje. (Cualquier dispositivo)
Relay
Reenviá los mensajes de fuentes u otros relays hacia los
collectors.
Collector
Reúne y almacena los mensajes para futuro análisis
Remitente de Transporte
Receptor de Transporte
Transformación de mensaje <-> protocolo de transporte
14. Formato de Mensaje – RFC 5424
SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG]
HEADER:
PRI – Prioridad
VERSION – Versión de protocolo Syslog
TIMESTAMP – Identifica cuando el mensaje fue creado
HOSTNAME – FQDN o IP de la fuente
APP-NAME – identifica el dispositivo o aplicación que origina
el mensaje
PROCID – nombre o ID del proceso asociado
MSGID – identifica el tipo de mensaje
16. Formato de Mensaje – RFC 5424
STRUCTURED DATA:
Conjunto de SD-ELEMENT
Cada elemento tiene un SD-ID y un conjunto de pares Nombre-
Valor
- [timeQuality tzKnown="1"
isSynced="1"syncAccuracy="60000000"]
- [origin ip="192.0.2.1" ip="192.0.2.129"]
MSG:
provee información sobre el evento debe ser texto UNICODE,
UTF-8 [RFC3629]
18. SYSLOG - Servicio
Funcionalidades principales
Provee funcionalidades de logueo a aplicaciones y
dispositivos
Provee a administradores controles sobre los logs
Flexibilidad
Permite clasificar y priorizar de mensajes
Los mensajes pueden ser enviados a múltiples
destinos:
● Archivos de Log
● Terminales
● Otros Hosts para centralizar logs.
19. Logs Centralizados
Permite el control centralizado de logs de
clusters
Monitoreo centralizado con un único punto de
acceso.
Facilidades para
Data Mining
20. Troubleshooting
Los mensajes de distintos sistemas pueden ser
ordenados en un único sistema
Mensajes relacionados desde distintos
sistemas pueden ser correlacionados y
consultados en un solo lugar
Acceso a un único host de logueo en vez de
múltiples sistemas
Agregar información para facilitar la búsqueda
21. Seguridad
Centralización de logs permite que el auditado
sea mas eficiente
Patrones sospechosos pueden ser reconocidos
mas fácilmente
Facilita evaluaciones postmortem de brechas
de seguridad.
23. Estrategias y Consideraciones
Cantidad de Mensajes
Determinada por archivos de conf (etc/syslog.conf)
Determina cantidad de archivos y destinos
Log Centralizado
Necesario para administración de logs
Destinos:
● Archivos de Log
● Terminales
● Otros Hosts para centralizar logs.