Servidor Centralizado DE LOGS PDF

Preview

Summary

Práctica de servidores logs...

Description

Brandon Garcia Estrada Erick Leonardo Meza Moran

¿Qué es un Log? Las empresas se apoyan en sistemas que generan una gran cantidad de datos en forma de trazas textuales, llamadas técnicamente “Logs”. Esta información no es visible para el usuario pero suele estar relacionada con su actividad informática (por ejemplo, historial de navegación, programas abiertos, etc.) o con los propios sistemas de información (es decir, estado actual de programas, seguridad, accesos, conectividad de redes, etc.). Los Logs, que nos explican el comportamiento de nuestros sistemas o programas, suelen escribirse en ficheros. Aunque más adelante pueden ser examinados, estos archivos por sí solos no nos permitirán detectar si se ha producido un error.

¿Cómo se presentan los Logs? En un escenario habitual, se suelen ejecutar multitud de aplicaciones al mismo tiempo. Su trazabilidad se reduce, en el mejor de los casos, a Logs persistidos en el disco duro de la máquina y, en el peor, a simples trazas de texto por pantalla tipo “print” que desaparecen a los pocos segundos.

Servidor Centralizado Un servidor centralizado se ocupa de conectar a todos los usuarios de la red de la empresa a través de su sistema. Esto también implica que los usuarios dependen de estos servidores centralizados y que se apoyan en ellos a nivel técnico. Para la empresa supone tener más controlados a los usuarios y minimizar al máximo la cantidad de registros y de accesos distintos que se realizan en su entorno. Al mismo tiempo, el control desde los servidores centralizados también se aplica a los propios ordenadores. Para una empresa es muy útil a la hora de crear una imagen más corporativa, dado que se puede influir, por ejemplo, en el contenido con el que se encuentran los usuarios de la red al encender sus equipos.

Además de ser seguro, el sistema que proporciona un servidor centralizado aumenta la comodidad. Esto se debe a que se crea una red absolutamente segura y privada a la cual solo tienen acceso los usuarios de la red y, por lo tanto, los de la empresa. Este acceso es configurable y da opción a compartir archivos y documentos, creando un fondo de almacenamiento al que pueden acceder todos los usuarios a fin de compartir elementos sin depender de procesos de envío más lentos como el correo electrónico. Logs centralizados en GNU/Linux con Rsyslog Rsyslog es una utilidad englobada dentro de la filosofía de desarrollo de código abierto y que utiliza una licencia de software libre. Es muy utilizada en sistemas UNIX y similares, como GNU/Linux. Esta se encarga de reenviar mensajes de registro dentro de una red.

Se encarga de implementar el protocolo de syslog básico, lo extiende con filtrado basado en un contenido dado, con capacidades de filtrado enriquecido, opciones de configuración flexibles y agrega características como uso de TCP para el transporte.

Desde sus inicios ha evolucionado como desde un servicio de syslog estándar, a un sistema de registro profesional. Su diseño es de cliente / servidor, por lo tanto, puede configurarse tanto como cliente como como servidor (véase máquina central)

Esquema de Rsyslog (click en la imagen para ampliar)

Además permite gestionar agentes para sistemas privativos como Microsoft Windows.

Logs centralizados en GNU/Linux con Rsyslog Rsyslog es una utilidad englobada dentro de la filosofía de desarrollo de código abierto y que utiliza una licencia de software libre. Es muy utilizada en sistemas UNIX y similares, como GNU/Linux. Esta se encarga de reenviar mensajes de registro dentro de una red. Se encarga de implementar el protocolo de syslog básico, lo extiende con filtrado basado en un contenido dado, con capacidades de filtrado enriquecido, opciones de configuración flexibles y agrega características como uso de TCP para el transporte.

Instalación y configuración de un servidor centralizado de LOGS con Rsyslog 1. Para realizar este procedimiento por esta ocasión utilizaremos dos maquinas virtuales ambas con un sistema operativo LINUX , la distribución utilizada es UBUNTU 20.04 LTS, siendo una el SERVER y otra el CLIENTE.

2. Ya instaladas tenemos que configurar ambas maquinas virtuales con una ip dinámica , pero estas deben estar en el mismo segmento de red la pondremos en modo bridge, como acontinuacion.

3. Probaremos la conexión entre los nodos para ver si hay respuesta, esto se hará a través de un ping.

4. Cambiaremos el nombre del host en el directorio /etc/hostname

5. Tenemos que configurar el directorio /etc/hosts asignando el nombre que se le puso anteriormente.

6. Tenemos que modificar el directorio /etc/Rsyslog.conf

7. Dentro del directorio y archivo tenemos que poner las reglas y directivas para poder configurar el receptor de los logs.

8. Aplicamos cambios en el archivo

9. Vemos si el puerto 514 de TCP esta activo y trabajando.

1. Ponemos las siguiente reglas y módulos en el archivo /etc/rsyslog.conf

2. Reiniciamos el cliente para que se apliquen los cambios.

3. Por medio del comando tail -f /var/log/auth.log Podemos ver como se están mandando los logs al servidor terminal derecha , y los recibe en la terminal izquierda

La práctica salió de forma satisfactoria muy buena manera de crear conciencia sobre unos archivos tan importantes en el computo forense como son los LOGS, aunque estos la mayoría de la gente los toma desapercibidos y hacen cosas medio raras de repente , esto demuestra que cada cosa puede ser descubierta y rastreada. Es una muy buena practica para darnos cuentas de los eventos y orígenes que pueden tener estos atraves de un archivo de texto no tan simple de leer. RSYSLOG es una herramienta muy poderosa para no perder ninguna evidencia de vista.

BIBLIOGRAFIA D. (2018, 29 octubre). Registros centralizados en Linux con Rsyslog. ochobitshacenunbyte. https://www.ochobitshacenunbyte.com/2018/10/29/registros-centralizados-en-linux-con-rsyslog/ A., Aratecnia, I. Z., Aratecnia, I. Z., & Aratecnia, I. Z. (2016a, junio 15). Administración de sistemas y servidores centralizados. ARATECNIA SISTEMAS Y SERVICIOS. https://www.aratecnia.es/administracionservidores/#:%7E:text=Un%20servidor%20centralizado%20se%20ocupa,en%20ellos%20a%20nivel %20t%C3%A9cnico....