Una de las grandes preocupaciones de toda empresa es la de poder estar informado en todo momento que es lo que ocurre en su red. El uso de firewalls como ya sabemos poteje la red local de intentos de intrusión, pero ¿Cómo registrar estos eventos?. En este artículo se aborda el uso de una servidor de syslog, mediante la aplicación de linux Syslog-ng.
Lo que se pretende es dividir el registro en diferentes archivos dependiendo del nivel del reporte del syslog.
Para configurar el syslog en el firewall debemos indicar:
- La ip del servidor Syslog
- Puerto y protocolo de transporte en el que recibirá los datos el servidor Syslog.
logging host Nombre_red IP_Syslog
 |
| Fig1: Captura syslog server en cisco ASA |
La configuración en el ASA es estandar y no entrama nungun tipo de dificultad, por lo que nos pararemos mucho en la configuración del syslog en el ASA.
Como se ve en la siguiente figura Fig1 al añadir un servidor Syslog debemos indicar la interfaz en la cual se encuentra el servidor, la ip del servidor, el puerto estandar 514 y el protocolo utilizado (UDP).
Configuración del Syslog-ng:
Como punto de partida en este documento se ha dispuesto para el servidor Syslog un servidor Linux dedicado con Ubuntu Server 14.04, el cual por defecto incluye la aplicación Syslog-ng.
Lo primero que debemos hacer es una copia del fichero de seguridad, para ello añadimos este comando mediante consola con permisos de administrador:
/* Creamos carpeta donde almacenar los logs */
mkdir /var/log/ASA/
/*Creamos una copia sobre el fichero de configuración*/
cd /etc/syslog-ng/syslog-ng.conf
mv syslog-ng.conf syslog-ng.conf.old
/*Creamos un nuevo fichero de configuración de syslog-ng*/
vi syslog-ng.conf
# Listening to incoming UDP Syslog connections
source mysource { udp(); };
#Add the syslog targets:
/*¿Dónde se almacenarán los log? En la carpeta /var/log/ASA/ y se almacenarán con la fecha actual en el momento de la creación del fichero */
destination dest { file("/var/log/ASA/Cisconotice$YEAR$MONTH$R_DAY.log"); };
destination desterror { file("/var/log/ASA/Ciscoerror$YEAR$MONTH$R_DAY.log"); };
destination destwarm { file("/var/log/ASA/Ciscowarm$YEAR$MONTH$R_DAY.log"); };
destination destcri { file("/var/log/ASA/Ciscocri$YEAR$MONTH$R_DAY.log"); };
destination destalert { file("/var/log/ASA/Ciscoalert$YEAR$MONTH$R_DAY.log"); };
destination destdebug { file("/var/log/ASA/Ciscodegub$YEAR$MONTH$R_DAY.log"); };
/* Se filtrará por niveles mediante el uso de filtros. */
filter myfilter { ( level(notice) ); };
filter myfilterwarning { ( level(warning) ); };
filter myfiltererror { ( level(error) ); };
filter myfiltercrit { ( level(crit) ); };
filter myfilteralert { ( level(alert) ); };
filter myfilterdebug { ( level(debug) ); };
log { source(mysource); filter(myfilter); destination(dest); };
log { source(mysource); filter(myfiltererror); destination(desterror); };
log { source(mysource); filter(myfiltercrit); destination(destcri); };
log { source(mysource); filter(myfilterwarning); destination(destwarm); };
log { source(mysource); filter(myfilteralert); destination(destalert); };
log { source(mysource); filter(myfilterdebug); destination(destdebug); };
Arrancamos el servicio mediante el comando:
service syslog-ng restart
Como resultado obtenemos:
Como se puede observar en la captura los ficheros se almacenan con el nombre que hemos apuntado en el archivo de configuración syslog-ng.conf.
En el próximo log mostraré como realizar una rotación de ficheros mediante el uso de logrotate.
En el próximo log mostraré como realizar una rotación de ficheros mediante el uso de logrotate.
No hay comentarios:
Publicar un comentario