Artigo Log servers
Por: Alex Rodrigues • 8/7/2018 • Artigo • 1.529 Palavras (7 Páginas) • 258 Visualizações
SERVIDORES DE LOG
Log Servers
IFC – Instituto Federal Catarinense, Campus Araquari
29/06/2018
RESUMO
Os servidores de log, armazenam todo tipo de registro das aplicações que ocorreram dentro de determinado sistema ou aplicativo. Essas informações são uteis para a segurança e também auxiliando a manutenção dos administradores desse servidor. Pelo fato de os logs terem um padrão, são muito bons para análise e verificações de falhas e acessos indevidos dentro do sistema que realiza esses logs diários.
Palavras-chave: registro; segurança; análise.
1 INTRODUÇÃO
Um servidor de logs, tem a sua função de centralizar todos os logs de outros servidores ou estações de trabalho para fins de proteger esses logs de invasões exteriores ou até para fins de auditoria.
Sistemas operacionais geram arquivos que informam qualquer tipo de evento ocorrido dentro do sistema, esses arquivos são chamados de logs, eles podem ser de vários tipos como logs de sistemas, de aplicativos, de segurança e qualquer registro de atividades.
Se for realizado uma análise, onde que você administre centenas de servidores, neles são rodadas inúmeras aplicações, que são conectados a ativos de rede, além dos firewalls, onde cada um desses componentes geram logs locais, todas esses dados caso você não possua um servidor dedicado ao armazenamento e centralização desses logs você pode ter grandes problemas.
Um dos principais motivos para ser armazenado os logs, foi o aumento de acesso a pessoas na internet, fazendo assim o aumento de ameaças exteriores a sistemas como bancos, lojas, redes sociais, entre outros. Atualmente os logs são de extrema importância para verificar tentativas ou esses acessos indevidos, se ouve extravio ou perda de informações. Além destes, existem outros motivos que fazem o armazenamento de logs importantes, que são o auxílio na atualização de pessoas que mantém o sistema funcionando, restabelecimento após alteração inesperada, entendimento de implementações, entre outros.
2 SERVIDORES DE LOG
Os servidores de log, não são utilizados apenas para o armazenamento de log, eles também são usados para poder consultar eficientemente o que foi armazenado de modo a não atrasar as atividades envolvidas na importância deste armazenamento. Essa análise de arquivos de log, pode ser uma tarefa árdua e demorada, dependendo de quanto menor a informação de busca esse analista ter, mais complicada e complexa será encontrar esse rastro de informações que procura.
Para essa análise existem no mercado alguns softwares que analisam em tempo real e também geram alertas de quando ocorre alguma anormalidade, essas ferramentas são conhecidas como SIEM (Security Incidente an Event Management), que permitem uma maior performance nesse monitoramento a uma infraestrutura, não necessitando um recurso humano exaustivo nessa análise de logs.
3 LOGS E LOGS REMOTOS
Na computação, Log de dados é o processo de registro diários de eventos relevantes num sistema. Todo esse registro pode ser utilizado de várias formas como para recuperar e restabelecer um estado original de um sistema caso tenha sido corrompido ou alterado, assim o administrador tenha acesso ao seu comportamento no passado. Toda informação que for importante no seu sistema é registrada em um arquivo, geralmente são arquivos de texto, para assim analistas possam estar verificando todos os eventos ocorridos nesse sistema.
É necessário o uso desses Logs para identificar as causas do erro do sistema, mas é sempre bom acompanhá-los frequentemente para verificar se seu sistema está funcionando da maneira esperada e sem nenhuma anormalidade.
Logs remotos não são um mistério, você realiza o armazenamento de arquivos logs em algum servidor remoto em vez de localmente. Isso ocorre pelo fato de que o armazenamento de muitos registros pode ocupar um espaço considerado dentro de um sistema, fazendo assim os dados ficarem um pouco fora de controle.
Assim os logs remotos estão se tornando rapidamente a única maneira de depurar todo esse código. Quase todo servidor onde esses logs são enviados é virtual, então o log basicamente também deve ser. Um provedor de log remoto cria um ponto de extremidade POST seguro, criptografado por HTTPS como um despejo de cadeia. Você, em vez de gravar os logs no console ou em um arquivo de log, grava todos os seus registros diretamente nesse log server.
3.1 CONSTRUINDO UM SERVIDOR DE LOG
Como já informado, os dados enviados para um log server (servidor de log) podem ser utilizados para reconstruir os eventos que foram monitorados e também para realizar o armazenamento dessas informações.
A construção de um servidor para este fim dentro de um sistema Windows, Unix e Linux, é necessário o uso de quatro ferramentas basicamente: Syslog-ng, Syslogd, NTSylog e Swatch.
Com essas ferramentas, utilizando elas configuradas de maneira correta, um servidor de log pode ser criado e assim utilizado da maneira que for desejado.
"Um log server remoto é nada mais do que um sistema configurado para prover espaço em disco para outros sistemas registrarem os seus logs." (HINES; ERIC).
Os primeiros passos para a criação do servidor de log são a instalação de uma máquina dedicada para essa funcionalidade, onde suas configurações devem ser somente o básico para o seu funcionamento e suas formas de acesso tem que ser bem analisadas, pois quanto mais seguras elas forem, menores serão as chances desse servidor ser alvo de ataques externos ou até mesmo interno.
Com a instalação do sistema operacional feito, os próximos procedimentos para a instalação e configuração do software para a criação do servidor de log, devem ser escolhidos os métodos que nesse artigo estarei mostrando o uso do syslog-ng.
Na instalação do syslog-ng é necessário além de seu próprio software, uma biblioteca denominada libol. Após o download destes dois componentes, você realiza a instalação do libol, utilizando o seguinte comando:
./configure && make && make install
O próximo passo agora será instalar o syslog-ng. Acesse o diretório syslog-ng,
...