Instalación y configuración de KIWI SYSLOG SERVER.

KIWI SYSLOG SERVER.

Para poder tener una buena seguridad en nuestra red debemos comenzar por estar pendientes de los movimientos en nuestros sistemas, en este caso podemos saber que sucede gracias a los logs que estos guardan automáticamente, pero es una tarea muy ardua y complicada andar de equipo en equipo verificando cada movimiento de estos, por ello se crearon los servidores de Logs o más conocidos como syslogs, con ellos podemos centralizar todos estos movimientos en una maquina, dándonos la posibilidad de conocer los logs de cada equipo de nuestra red desde un solo servidor Syslog.

Para mi práctica decidí implementar un software llamado Kiwi Syslog Server, este software es de pago pero también tiene una versión free que es más reducida, yo opte por la que me ofrecía un trial de 30 días, con el cual podía completar mi objetivo.

para comenzar nos iremos a este link http://www.kiwisyslog.com/, allí descargaremos el trial, solo basta con dejar nuestros datos personales. Damos clic en Download Now y bajamos el instalador que pesa solo 28.1 MB.

clip_image002

Descomprimimos el paquete e instalamos el que dice Kiwi_syslog_server_9.0.3, con este instalamos el servicio en Windows, cabe decir que kiwi Syslog server está disponible en su instalación como servidor solo para Windows, pero captura todos los logs de la red, incluyendo los de los equipos activos.

clip_image004

Y comenzamos la instalación. Automáticamente se empieza a descomprimir el ejecutable

clip_image005

Aceptamos la licencia del producto

clip_image006

Seleccionamos la primera opción que nos permite instalar este software como si fuera un servicio de Windows, damos clic en Next.

clip_image007

Seleccionamos la primera opción que dice “The localSystem Account” ya que necesitamos tener una cuenta administradora para poder administrar nuestro servidor, en mi caso como estaba logueado en la cuenta administrador escogí esta opción, de lo contrario debemos proveer una con privilegios.

clip_image008

Además de tener una interfaz grafica para su administración, Kiwi Syslog Server también tiene una interfaz vía Web dándonos la posibilidad de administrarlo remotamente, por esto seleccionamos las dos casillas que se muestran en el dialogo, pero debemos tener en cuenta que esta opción está disponible únicamente para la versión de pago o la de trial de 30 días.

clip_image009

Nos pide que le digamos que tipo de instalación queremos para nuestro servicio, escogemos la opción normal y si queremos podemos deseleccionar algunas casillas que se muestran allí.

clip_image010

Escogemos la ruta de la instalación del servicio, en mi caso lo deje por defecto. Clic en Install.

clip_image011

Y ya comienza la instalación de kiwi Syslog Server

clip_image012

Terminada la instalación anterior se nos despliega automáticamente la instalación del acceso web para Kiwi, entonces damos clic en Siguiente.

clip_image013

Para continuar con la instalación nos dice que necesita unos prerrequisitos, tales como:

– Windows Installer 3.1.

– .Net Framework 2.

– Visual C++ 2008.

– Una versión básica de SQL server.

– ASP.NET Ajax.

– UltiDev Cassini Web Server Explorer.

– UltiDev cassini Web Server.

No nos alarmemos, porque por ejemplo como yo ya tenía instalado .Net Framework el detecto que no lo necesitaba, pero los otros componentes automáticamente los descarga e instala, por eso es indispensable que tengamos una conexión a internet, damos clic en Siguiente.

clip_image014

Vemos que el automáticamente empieza la descarga e instalación de los componentes faltantes para su implementación.

clip_image015

Terminado el proceso anterior comienza en si la instalación del servicio web, clic en next

clip_image016

Aceptamos los términos de la licencia, clic en Next.

clip_image017

Nos dice que si queremos que cree los acceso directos en esas ubicaciones.

clip_image018

Dejamos la ruta por defecto para su instalación.

clip_image019

Escogemos la ruta de la raíz del WebSite, y escogemos el puerto por el cual escuchara.

clip_image020

Escogemos en nombre de usuario y contraseña para el acceso Web

clip_image021

Damos clic en Install para comenzar su instalación

clip_image022

clip_image023

Damos clic en Finish

clip_image024

Y automáticamente nos dice que ya termino la instalación completa de Kiwi Syslog Server

clip_image025

Esta es la ventana de administración de nuestro Syslog

clip_image027

Ahora como debemos configurar un servidor para que envíe los logs a este, entonces lo probaremos con una máquina en Windows 2003 Server con un directorio activo funcionando, para ello necesitamos un agente que nos permita hacer esto, no vamos a este enlace http://www.intersectalliance.com/projects/SnareWindows/index.html allí buscaremos y descargaremos el agente para Windows server 2003, este agente es libre osea que lo podemos instalar en cualquier equipo sin ninguna restricción, después de descargado lo ejecutamos en nuestro directorio activo, damos clic en Next

clip_image028

Dejamos la ruta que tiene por defecto, aunque si queremos la podemos cambiar, clic en Next.

clip_image029

Clic en Next

clip_image030

Nos pregunta que si queremos que él se encargue de manejar y controlar la configuración de los logs de nuestro sistema, seleccionamos la opción que dice YES.

clip_image031

Nos pregunta que si queremos permitirle que instale la interfaz web para su administración, Next.

clip_image032

Nos muestra nuestras configuraciones, clic en install

clip_image033

Clic en next.

clip_image034

Ya para terminar damos clic en Finish.

clip_image035

Ahora nos vamos a Inicio, All programs, InterSect Alliance, clic en Snare For Windows

clip_image037

Automáticamente nos abre un explorador con la interfaz web de Snare, damos clic al lado derecho donde dice “Network Configuration”, en donde dice “Destination Snare Server Address” colocamos la de nuestro Kiwi Syslog Server, colocamos el puerto por donde Kiwi escucha que es el 514 y en Syslog Priority escogemos DYNAMIC, por ultimo guardamos los cambios.

clip_image039

Para poder que los cambios surjan efecto tenemos que reiniciar el servicio SNARE, por ello vamos a los servicios de Windows y buscamos el que se llama SNARE.

clip_image041

Reiniciamos este servicio, damos clic en restart.

clip_image043

Y vemos que inmediatamente nuestro Kiwi Syslog Server empieza a recibir los logs del directorio activo, así hacemos para cualquier otro equipo en Windows. Si queremos hacerlo con un sistema operativo Windows Vista debemos descargar el paquete para este sistema operativo.

clip_image045

Configurar Sistema operativo Linux para que envíe los logs a un servidor remoto.

En Debian Lenny debemos instalar el paquete Syslogd, ya que este no viene por defecto, entonces en una consola con privilegios de root escribimos lo siguiente:

# apt-get install syslogd

Al terminar el proceso de instalación nos vamos a editar el archivo /etc/Syslog.conf

clip_image046

En la parte superior escribimos *.* @”IP_KIWI_SYSLOG_SERVER” que para nuestro caso era la 192.168.2.20

clip_image047

Guardamos y reiniciamos el demonio, para que tengan efecto los cambios:

# /etc/init.d/sysklogd stop

# /etc/init.d/sysklogd start

clip_image048

Configurar Router cisco para que envíe mensajes de log a un servidor remoto.

Nos conectamos a nuestro router cisco desde una terminal, cuando entremos nos pasamos al modo enable, cabe decir que este procedimiento lo realice en un router cisco 800:

Router>enable

Router# configure terminal

Router (config)# logging on

Router(config)# Logging Facility Local7

router (config)# Logging [Dirección ip del servidor que está corriendo Kiwi Syslog Server]

Router(config)# exit

Router# copy running-config startup-config

Y nos saldrá este aviso, por lo cual escribimos yes y damos Enter

Destination filename [startup-config]? yes

Configurar switch cisco para que envíe mensajes de log a un servidor remoto

Esto lo probé en un Switch de capa 3 Cisco Catalyst 3550

Switch> enable

Switch# configure terminal

Switch(config)# logging trap warnings

Switch(config)# logging facility local7

Switch(config)# logging [Dirección ip del servidor que este corriendo Kiwi Syslog Server]

Switch(config)# exit

Switch# copy running-config startup-config

Nos saldrá esta advertencia y le decimos yes, Enter

Destination filename [startup-config]? yes

Interpretación de un log:

Esta prueba la realice desde un equipo con Windows server 2003, el cual tenía un directorio activo, procedí a instalar el agente como se explico anteriormente, y en el momento que reinicie el servicio de cliente DHCP estos fueron los resultados que me mostro mi servidor Kiwi Syslog Server:

clip_image050

El servidor me muestra los resultados organizados de forma que los de arriba son los más nuevos y los de abajo los más viejos, este los organiza en tres columnas que son:

– Date: nos indica la fecha en que se emitió el log.

– Time: Hora en que se produjo el log.

– Priority: Prioridad que se le da al log.

– Hostname: Dirección ip del servidor que emitió el log.

– Message: Nos muestra el log tal cual lo emite Windows.

En esa grafica se ve que el tercer log nos indico que el servicio DHCP client paso a un estado de parado, se emitió a las 16:30:38 desde el equipo llamado sena-zjieyz4pri.trek.com,y fue ejecutado por el usuario administrator, es un log del sistema, la hora de este equipo la cual era la 16:31:26, dándonos una información útil la cual nos indico que no están sincronizadas las horas de los equipos de la red.

Es de aclara que este nos ofrece muchas formas de almacenamiento de los log, tales como identificación del tipo de log por colores, por carpetas o simplemente como lo hice yo en mi practica, con un archivo txt, el cual se almacena en c:\Archivos de programa\Syslogd\Logs\SyslogCatchAll.txt

A continuación vemos una imagen la cual nos muestra el resultado de un log generado desde una maquina con Linux, en este caso con Ubuntu 9.04, por motivo de reinicio del demonio syslogd en nuestro caso con el comando:

# /etc/init.d/sysklogd restart

Cclip_image051

function showads() {
return ‘
<div class=”publicity”>
<script type=”text/javascript”><!–
google_ad_client = “pub-4953222132550223”;
/* 300×250, creado 1/12/09 */
google_ad_slot = “7107585326”;
google_ad_width = 300;
google_ad_height = 250;
//–>
</script>
<script type=”text/javascript”
src=”http://pagead2.googlesyndication.com/pagead/show_ads.js”&gt;
</script>
</div>
‘;
}

 


5 thoughts on “Instalación y configuración de KIWI SYSLOG SERVER.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s