Protocolo syslog
Transcript of Protocolo syslog
![Page 1: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/1.jpg)
SYSLOGSYSLOG
PROTOCOLO Y
SERVICIOS
A/C Miguel Machado
![Page 2: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/2.jpg)
LOGLOG
Registro de eventos o errores
FormatoInformaciónDistribución de logs
Recopilación y análisis costoso - imposible?
![Page 3: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/3.jpg)
SYSLOGSYSLOGEl protocolo y servicios Syslog proveen un transporte y funcionalidades para el envío de mensajes a través de redes IP con el objetivo de centralizar servicios de log.
http://www.winsyslog.com/en/
![Page 4: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/4.jpg)
PROTOCOLO SYSLOGPROTOCOLO SYSLOG
RFC 3164 – The BSD Syslog Protocol 3195 – Reliable Delivery for Syslog 5424 - The Syslog Protocol - 03/2009
Estándar de formato para MensajesPresenta conceptos del mapeo del transporteDescribe elementos de datos estructurados
No incluye formato de almacenamiento
![Page 5: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/5.jpg)
PROTOCOLO - ArquitecturaPROTOCOLO - Arquitectura
Syslog utiliza tres capas:
Contenido Información de gestión de un mensaje
Aplicación Gestiona la generación, interpretación, ruteo y almacenamiento de mensajes
Transporte Maneja el envió y recepción de mensajes.
![Page 6: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/6.jpg)
PROTOCOLO - ArquitecturaPROTOCOLO - Arquitectura
http://www.employees.org/~lonvick/attachments/syslog-protocol.pdf
![Page 7: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/7.jpg)
PROTOCOLO - ArquitecturaPROTOCOLO - ArquitecturaFuente
Genera el contenido del mensaje. (Cualquier dispositivo)
RelayReenviá los mensajes de fuentes u otros relays hacia los collectors.
CollectorReúne y almacena los mensajes para futuro análisis
Remitente de TransporteReceptor de Transporte
Transformación de mensaje <-> protocolo de transporte
![Page 8: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/8.jpg)
PROTOCOLO - ArquitecturaPROTOCOLO - Arquitectura
http://www.rfc-editor.org/rfc/rfc5424.txt
![Page 9: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/9.jpg)
DespliegueDespliegueModo Cliente
Modo Relay
![Page 10: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/10.jpg)
Modos de OperaciónModos de OperaciónModo Servidor/Collector
http://www.balabit.com/dl/guides/syslog-ng-v3.0-guide-admin-en.pdf
![Page 11: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/11.jpg)
DespliegueDespliegue
Diagram 2. Some Possible Syslog Deployment Scenarios - http://www.rfc-editor.org/rfc/rfc5424.txt
![Page 12: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/12.jpg)
TransporteTransporteProtocolo de transporte NO especificado por Syslog
Pero:
Debe soportar transporte basado en TLS [RFC5425]Debe soportar transporte basado en UDP [RFC5426]
Puertos por defecto:
UDP: 514 TCP: 1468
![Page 13: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/13.jpg)
Formato de Mensaje –Formato de Mensaje – RFC 5424 RFC 5424
http://www.rfc-editor.org/rfc/rfc5424.txt
Formato:ABNF [RFC5234]
![Page 14: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/14.jpg)
Formato de Mensaje –Formato de Mensaje – RFC 5424 RFC 5424
SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG]
HEADER:PRI – PrioridadVERSION – Versión de protocolo SyslogTIMESTAMP – Identifica cuando el mensaje fue creadoHOSTNAME – FQDN o IP de la fuenteAPP-NAME – identifica el dispositivo o aplicación que origina el mensajePROCID – nombre o ID del proceso asociadoMSGID – identifica el tipo de mensaje
![Page 15: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/15.jpg)
Facilities - PrioridadesFacilities - Prioridades
La prioridad es calculada como:Priority = Facility * 8 + Nivel
![Page 16: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/16.jpg)
Formato de Mensaje –Formato de Mensaje – RFC 5424 RFC 5424
STRUCTURED DATA:Conjunto de SD-ELEMENTCada elemento tiene un SD-ID y un conjunto de pares Nombre-Valor
- [timeQuality tzKnown="1" isSynced="1"syncAccuracy="60000000"]
- [origin ip="192.0.2.1" ip="192.0.2.129"]
MSG: provee información sobre el evento debe ser texto UNICODE, UTF-8 [RFC3629]
V
![Page 17: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/17.jpg)
Formato de Mensaje –Formato de Mensaje – RFC 5424 RFC 5424
Ejemplo:
<66>1 2003-10-11T22:14:15.003Z mymachine.example.comevntslog - ID47 [exampleSDID@0 iut="3" eventSource="Application" eventID="1011"] BOMAn applicationevent log entry...
● Fuente: “mymachine.example.com”● Aplicacion: “evntslog”● PROCID: nulo “-”● MSGID: “ID47”
![Page 18: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/18.jpg)
SYSLOG - ServicioSYSLOG - Servicio
Funcionalidades principalesProvee funcionalidades de logueo a aplicaciones y dispositivosProvee a administradores controles sobre los logs
FlexibilidadPermite clasificar y priorizar de mensajes Los mensajes pueden ser enviados a múltiples destinos:
● Archivos de Log● Terminales● Otros Hosts para centralizar logs.
![Page 19: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/19.jpg)
Logs CentralizadosLogs Centralizados
Permite el control centralizado de logs de clusters
Monitoreo centralizado con un único punto de acceso.
Facilidades paraData Mining
![Page 20: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/20.jpg)
TroubleshootingTroubleshooting
Los mensajes de distintos sistemas pueden ser ordenados en un único sistema
Mensajes relacionados desde distintos sistemas pueden ser correlacionados y consultados en un solo lugar
Acceso a un único host de logueo en vez de múltiples sistemas
Agregar información para facilitar la búsqueda
![Page 21: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/21.jpg)
SeguridadSeguridad
Centralización de logs permite que el auditado sea mas eficiente
Patrones sospechosos pueden ser reconocidos mas fácilmente
Facilita evaluaciones postmortem de brechas de seguridad.
![Page 22: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/22.jpg)
SYSLOG - ServicioSYSLOG - Servicio
![Page 23: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/23.jpg)
Estrategias y ConsideracionesEstrategias y Consideraciones
Cantidad de MensajesDeterminada por archivos de conf (etc/syslog.conf)Determina cantidad de archivos y destinos
Log CentralizadoNecesario para administración de logsDestinos:
● Archivos de Log● Terminales● Otros Hosts para centralizar logs.
![Page 24: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/24.jpg)
IMPLEMENTACIONESIMPLEMENTACIONESWindows
Kiwi Syslog DaemonWinSyslogNTSyslogSyslogserveHDC SyslogNetDecision LogVisionSyslog Watcher
Unixsyslogdrsyslogd (TCP)sylog-ng
![Page 25: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/25.jpg)
KIWIKIWI
FreewareServicioGUITCP/UDPArchivado automáticoEstadísticasAlarmas y notificaciones
http://www.kiwisyslog.com/
-Kiwi Syslog Server-Kiwi Syslog Daemon-Kiwi Syslog Client-Kiwi Syslog Harvester
![Page 27: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/27.jpg)
WinSyslogWinSyslog
Optimizado para WindowsSoporta 3164 & 3195IU Amigable
http://www.winsyslog.com/
![Page 28: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/28.jpg)
WinSyslogWinSyslog
![Page 29: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/29.jpg)
Syslog-ngSyslog-ng
http://www.balabit.com/network-security/syslog-ng/TLS-Canal encriptadoCompatibilidad múltiples plataformasEncriptado de logs, firmas digitalesManejo de eventosSoporta las últimos protocolos IETFAcceso directo a MSSQL, MySQL, Oracle, PostgreSQL y SQLite.Soporta ipv4 y ipv6
![Page 30: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/30.jpg)
Syslog-ng Syslog-ng – PHP Interface– PHP Interface
![Page 31: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/31.jpg)
Syslog-ng Syslog-ng – PHP Interface– PHP Interface
![Page 32: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/32.jpg)
Syslog-ngSyslog-ng
http://www.balabit.com/dl/guides/syslog-ng-v3.0-guide-admin-en.pdf
![Page 33: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/33.jpg)
Syslog4jSyslog4j
Implementación cliente/servidor 100% Java Libre.
Implementa RFC3164 con soporte a TCP y Unix Sockets.
Integrable con Apache Log4j (Syslog4jAppender)
http://syslog4j.org/
![Page 34: Protocolo syslog](https://reader035.fdocumento.com/reader035/viewer/2022081720/5591304d1a28ab3a498b457d/html5/thumbnails/34.jpg)
SYSLOGSYSLOG
RFC 3164:http://www.ietf.org/rfc/rfc3164.txt3
-RFC 3164:http://www.ietf.org/rfc/rfc3195.txt
-SYSLOG: Vladislav Marinov, Jacobs University Bremen, Alemaniahttp://www.faculty.jacobs-university.de/jschoenwae/nds-2008/marinov-syslog.pdf
-Sitio Syslog: http://www.syslog.org/
Preguntas y/o Comentarios?