KIWI SYSLOG SERVER.
Para poder tener una buena seguridad en nuestra red debemos comenzar por estar pendientes de los movimientos en nuestros sistemas, en este caso podemos saber que sucede gracias a los logs que estos guardan automáticamente, pero es una tarea muy ardua y complicada andar de equipo en equipo verificando cada movimiento de estos, por ello se crearon los servidores de Logs o más conocidos como syslogs, con ellos podemos centralizar todos estos movimientos en una maquina, dándonos la posibilidad de conocer los logs de cada equipo de nuestra red desde un solo servidor Syslog.
Para mi práctica decidí implementar un software llamado Kiwi Syslog Server, este software es de pago pero también tiene una versión free que es más reducida, yo opte por la que me ofrecía un trial de 30 días, con el cual podía completar mi objetivo.
para comenzar nos iremos a este link http://www.kiwisyslog.com/, allí descargaremos el trial, solo basta con dejar nuestros datos personales. Damos clic en Download Now y bajamos el instalador que pesa solo 28.1 MB.
Descomprimimos el paquete e instalamos el que dice Kiwi_syslog_server_9.0.3, con este instalamos el servicio en Windows, cabe decir que kiwi Syslog server está disponible en su instalación como servidor solo para Windows, pero captura todos los logs de la red, incluyendo los de los equipos activos.
Y comenzamos la instalación. Automáticamente se empieza a descomprimir el ejecutable
Aceptamos la licencia del producto
Seleccionamos la primera opción que nos permite instalar este software como si fuera un servicio de Windows, damos clic en Next.
Seleccionamos la primera opción que dice “The localSystem Account” ya que necesitamos tener una cuenta administradora para poder administrar nuestro servidor, en mi caso como estaba logueado en la cuenta administrador escogí esta opción, de lo contrario debemos proveer una con privilegios.
Además de tener una interfaz grafica para su administración, Kiwi Syslog Server también tiene una interfaz vía Web dándonos la posibilidad de administrarlo remotamente, por esto seleccionamos las dos casillas que se muestran en el dialogo, pero debemos tener en cuenta que esta opción está disponible únicamente para la versión de pago o la de trial de 30 días.
Nos pide que le digamos que tipo de instalación queremos para nuestro servicio, escogemos la opción normal y si queremos podemos deseleccionar algunas casillas que se muestran allí.
Escogemos la ruta de la instalación del servicio, en mi caso lo deje por defecto. Clic en Install.
Y ya comienza la instalación de kiwi Syslog Server
Terminada la instalación anterior se nos despliega automáticamente la instalación del acceso web para Kiwi, entonces damos clic en Siguiente.
Para continuar con la instalación nos dice que necesita unos prerrequisitos, tales como:
- Windows Installer 3.1.
- .Net Framework 2.
- Visual C++ 2008.
- Una versión básica de SQL server.
- ASP.NET Ajax.
- UltiDev Cassini Web Server Explorer.
- UltiDev cassini Web Server.
No nos alarmemos, porque por ejemplo como yo ya tenía instalado .Net Framework el detecto que no lo necesitaba, pero los otros componentes automáticamente los descarga e instala, por eso es indispensable que tengamos una conexión a internet, damos clic en Siguiente.
Vemos que el automáticamente empieza la descarga e instalación de los componentes faltantes para su implementación.
Terminado el proceso anterior comienza en si la instalación del servicio web, clic en next
Aceptamos los términos de la licencia, clic en Next.
Nos dice que si queremos que cree los acceso directos en esas ubicaciones.
Dejamos la ruta por defecto para su instalación.
Escogemos la ruta de la raíz del WebSite, y escogemos el puerto por el cual escuchara.
Escogemos en nombre de usuario y contraseña para el acceso Web
Damos clic en Install para comenzar su instalación
Damos clic en Finish
Y automáticamente nos dice que ya termino la instalación completa de Kiwi Syslog Server
Esta es la ventana de administración de nuestro Syslog
Ahora como debemos configurar un servidor para que envíe los logs a este, entonces lo probaremos con una máquina en Windows 2003 Server con un directorio activo funcionando, para ello necesitamos un agente que nos permita hacer esto, no vamos a este enlace http://www.intersectalliance.com/projects/SnareWindows/index.html allí buscaremos y descargaremos el agente para Windows server 2003, este agente es libre osea que lo podemos instalar en cualquier equipo sin ninguna restricción, después de descargado lo ejecutamos en nuestro directorio activo, damos clic en Next
Dejamos la ruta que tiene por defecto, aunque si queremos la podemos cambiar, clic en Next.
Clic en Next
Nos pregunta que si queremos que él se encargue de manejar y controlar la configuración de los logs de nuestro sistema, seleccionamos la opción que dice YES.
Nos pregunta que si queremos permitirle que instale la interfaz web para su administración, Next.
Nos muestra nuestras configuraciones, clic en install
Clic en next.
Ya para terminar damos clic en Finish.
Ahora nos vamos a Inicio, All programs, InterSect Alliance, clic en Snare For Windows
Automáticamente nos abre un explorador con la interfaz web de Snare, damos clic al lado derecho donde dice “Network Configuration”, en donde dice “Destination Snare Server Address” colocamos la de nuestro Kiwi Syslog Server, colocamos el puerto por donde Kiwi escucha que es el 514 y en Syslog Priority escogemos DYNAMIC, por ultimo guardamos los cambios.
Para poder que los cambios surjan efecto tenemos que reiniciar el servicio SNARE, por ello vamos a los servicios de Windows y buscamos el que se llama SNARE.
Reiniciamos este servicio, damos clic en restart.
Y vemos que inmediatamente nuestro Kiwi Syslog Server empieza a recibir los logs del directorio activo, así hacemos para cualquier otro equipo en Windows. Si queremos hacerlo con un sistema operativo Windows Vista debemos descargar el paquete para este sistema operativo.
Configurar Sistema operativo Linux para que envíe los logs a un servidor remoto.
En Debian Lenny debemos instalar el paquete Syslogd, ya que este no viene por defecto, entonces en una consola con privilegios de root escribimos lo siguiente:
# apt-get install syslogd
Al terminar el proceso de instalación nos vamos a editar el archivo /etc/Syslog.conf
En la parte superior escribimos *.* @”IP_KIWI_SYSLOG_SERVER” que para nuestro caso era la 192.168.2.20
Guardamos y reiniciamos el demonio, para que tengan efecto los cambios:
# /etc/init.d/sysklogd stop
# /etc/init.d/sysklogd start
Configurar Router cisco para que envíe mensajes de log a un servidor remoto.
Nos conectamos a nuestro router cisco desde una terminal, cuando entremos nos pasamos al modo enable, cabe decir que este procedimiento lo realice en un router cisco 800:
Router>enable
Router# configure terminal
Router (config)# logging on
Router(config)# Logging Facility Local7
router (config)# Logging [Dirección ip del servidor que está corriendo Kiwi Syslog Server]
Router(config)# exit
Router# copy running-config startup-config
Y nos saldrá este aviso, por lo cual escribimos yes y damos Enter
Destination filename [startup-config]? yes
Configurar switch cisco para que envíe mensajes de log a un servidor remoto
Esto lo probé en un Switch de capa 3 Cisco Catalyst 3550
Switch> enable
Switch# configure terminal
Switch(config)# logging trap warnings
Switch(config)# logging facility local7
Switch(config)# logging [Dirección ip del servidor que este corriendo Kiwi Syslog Server]
Switch(config)# exit
Switch# copy running-config startup-config
Nos saldrá esta advertencia y le decimos yes, Enter
Destination filename [startup-config]? yes
Interpretación de un log:
Esta prueba la realice desde un equipo con Windows server 2003, el cual tenía un directorio activo, procedí a instalar el agente como se explico anteriormente, y en el momento que reinicie el servicio de cliente DHCP estos fueron los resultados que me mostro mi servidor Kiwi Syslog Server:
El servidor me muestra los resultados organizados de forma que los de arriba son los más nuevos y los de abajo los más viejos, este los organiza en tres columnas que son:
- Date: nos indica la fecha en que se emitió el log.
- Time: Hora en que se produjo el log.
- Priority: Prioridad que se le da al log.
- Hostname: Dirección ip del servidor que emitió el log.
- Message: Nos muestra el log tal cual lo emite Windows.
En esa grafica se ve que el tercer log nos indico que el servicio DHCP client paso a un estado de parado, se emitió a las 16:30:38 desde el equipo llamado sena-zjieyz4pri.trek.com,y fue ejecutado por el usuario administrator, es un log del sistema, la hora de este equipo la cual era la 16:31:26, dándonos una información útil la cual nos indico que no están sincronizadas las horas de los equipos de la red.
Es de aclara que este nos ofrece muchas formas de almacenamiento de los log, tales como identificación del tipo de log por colores, por carpetas o simplemente como lo hice yo en mi practica, con un archivo txt, el cual se almacena en c:\Archivos de programa\Syslogd\Logs\SyslogCatchAll.txt
A continuación vemos una imagen la cual nos muestra el resultado de un log generado desde una maquina con Linux, en este caso con Ubuntu 9.04, por motivo de reinicio del demonio syslogd en nuestro caso con el comando:
# /etc/init.d/sysklogd restart
C
function showads() {
return ‘
<div class=”publicity”>
<script type=”text/javascript”><!–
google_ad_client = “pub-4953222132550223″;
/* 300×250, creado 1/12/09 */
google_ad_slot = “7107585326″;
google_ad_width = 300;
google_ad_height = 250;
//–>
</script>
<script type=”text/javascript”
src=”http://pagead2.googlesyndication.com/pagead/show_ads.js”>
</script>
</div>
‘;
}
.
