Post on 29-Jun-2015
SYSLOGSYSLOG
PROTOCOLO Y
SERVICIOS
A/C Miguel Machado
LOGLOG
Registro de eventos o errores
FormatoInformaciónDistribución de logs
Recopilación y análisis costoso - imposible?
SYSLOGSYSLOGEl protocolo y servicios Syslog proveen un transporte y funcionalidades para el envío de mensajes a través de redes IP con el objetivo de centralizar servicios de log.
http://www.winsyslog.com/en/
PROTOCOLO SYSLOGPROTOCOLO SYSLOG
RFC 3164 – The BSD Syslog Protocol 3195 – Reliable Delivery for Syslog 5424 - The Syslog Protocol - 03/2009
Estándar de formato para MensajesPresenta conceptos del mapeo del transporteDescribe elementos de datos estructurados
No incluye formato de almacenamiento
PROTOCOLO - ArquitecturaPROTOCOLO - Arquitectura
Syslog utiliza tres capas:
Contenido Información de gestión de un mensaje
Aplicación Gestiona la generación, interpretación, ruteo y almacenamiento de mensajes
Transporte Maneja el envió y recepción de mensajes.
PROTOCOLO - ArquitecturaPROTOCOLO - Arquitectura
http://www.employees.org/~lonvick/attachments/syslog-protocol.pdf
PROTOCOLO - ArquitecturaPROTOCOLO - ArquitecturaFuente
Genera el contenido del mensaje. (Cualquier dispositivo)
RelayReenviá los mensajes de fuentes u otros relays hacia los collectors.
CollectorReúne y almacena los mensajes para futuro análisis
Remitente de TransporteReceptor de Transporte
Transformación de mensaje <-> protocolo de transporte
PROTOCOLO - ArquitecturaPROTOCOLO - Arquitectura
http://www.rfc-editor.org/rfc/rfc5424.txt
DespliegueDespliegueModo Cliente
Modo Relay
Modos de OperaciónModos de OperaciónModo Servidor/Collector
http://www.balabit.com/dl/guides/syslog-ng-v3.0-guide-admin-en.pdf
DespliegueDespliegue
Diagram 2. Some Possible Syslog Deployment Scenarios - http://www.rfc-editor.org/rfc/rfc5424.txt
TransporteTransporteProtocolo de transporte NO especificado por Syslog
Pero:
Debe soportar transporte basado en TLS [RFC5425]Debe soportar transporte basado en UDP [RFC5426]
Puertos por defecto:
UDP: 514 TCP: 1468
Formato de Mensaje –Formato de Mensaje – RFC 5424 RFC 5424
http://www.rfc-editor.org/rfc/rfc5424.txt
Formato:ABNF [RFC5234]
Formato de Mensaje –Formato de Mensaje – RFC 5424 RFC 5424
SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG]
HEADER:PRI – PrioridadVERSION – Versión de protocolo SyslogTIMESTAMP – Identifica cuando el mensaje fue creadoHOSTNAME – FQDN o IP de la fuenteAPP-NAME – identifica el dispositivo o aplicación que origina el mensajePROCID – nombre o ID del proceso asociadoMSGID – identifica el tipo de mensaje
Facilities - PrioridadesFacilities - Prioridades
La prioridad es calculada como:Priority = Facility * 8 + Nivel
Formato de Mensaje –Formato de Mensaje – RFC 5424 RFC 5424
STRUCTURED DATA:Conjunto de SD-ELEMENTCada elemento tiene un SD-ID y un conjunto de pares Nombre-Valor
- [timeQuality tzKnown="1" isSynced="1"syncAccuracy="60000000"]
- [origin ip="192.0.2.1" ip="192.0.2.129"]
MSG: provee información sobre el evento debe ser texto UNICODE, UTF-8 [RFC3629]
V
Formato de Mensaje –Formato de Mensaje – RFC 5424 RFC 5424
Ejemplo:
<66>1 2003-10-11T22:14:15.003Z mymachine.example.comevntslog - ID47 [exampleSDID@0 iut="3" eventSource="Application" eventID="1011"] BOMAn applicationevent log entry...
● Fuente: “mymachine.example.com”● Aplicacion: “evntslog”● PROCID: nulo “-”● MSGID: “ID47”
SYSLOG - ServicioSYSLOG - Servicio
Funcionalidades principalesProvee funcionalidades de logueo a aplicaciones y dispositivosProvee a administradores controles sobre los logs
FlexibilidadPermite clasificar y priorizar de mensajes Los mensajes pueden ser enviados a múltiples destinos:
● Archivos de Log● Terminales● Otros Hosts para centralizar logs.
Logs CentralizadosLogs Centralizados
Permite el control centralizado de logs de clusters
Monitoreo centralizado con un único punto de acceso.
Facilidades paraData Mining
TroubleshootingTroubleshooting
Los mensajes de distintos sistemas pueden ser ordenados en un único sistema
Mensajes relacionados desde distintos sistemas pueden ser correlacionados y consultados en un solo lugar
Acceso a un único host de logueo en vez de múltiples sistemas
Agregar información para facilitar la búsqueda
SeguridadSeguridad
Centralización de logs permite que el auditado sea mas eficiente
Patrones sospechosos pueden ser reconocidos mas fácilmente
Facilita evaluaciones postmortem de brechas de seguridad.
SYSLOG - ServicioSYSLOG - Servicio
Estrategias y ConsideracionesEstrategias y Consideraciones
Cantidad de MensajesDeterminada por archivos de conf (etc/syslog.conf)Determina cantidad de archivos y destinos
Log CentralizadoNecesario para administración de logsDestinos:
● Archivos de Log● Terminales● Otros Hosts para centralizar logs.
IMPLEMENTACIONESIMPLEMENTACIONESWindows
Kiwi Syslog DaemonWinSyslogNTSyslogSyslogserveHDC SyslogNetDecision LogVisionSyslog Watcher
Unixsyslogdrsyslogd (TCP)sylog-ng
KIWIKIWI
FreewareServicioGUITCP/UDPArchivado automáticoEstadísticasAlarmas y notificaciones
http://www.kiwisyslog.com/
-Kiwi Syslog Server-Kiwi Syslog Daemon-Kiwi Syslog Client-Kiwi Syslog Harvester
WinSyslogWinSyslog
Optimizado para WindowsSoporta 3164 & 3195IU Amigable
http://www.winsyslog.com/
WinSyslogWinSyslog
Syslog-ngSyslog-ng
http://www.balabit.com/network-security/syslog-ng/TLS-Canal encriptadoCompatibilidad múltiples plataformasEncriptado de logs, firmas digitalesManejo de eventosSoporta las últimos protocolos IETFAcceso directo a MSSQL, MySQL, Oracle, PostgreSQL y SQLite.Soporta ipv4 y ipv6
Syslog-ng Syslog-ng – PHP Interface– PHP Interface
Syslog-ng Syslog-ng – PHP Interface– PHP Interface
Syslog-ngSyslog-ng
http://www.balabit.com/dl/guides/syslog-ng-v3.0-guide-admin-en.pdf
Syslog4jSyslog4j
Implementación cliente/servidor 100% Java Libre.
Implementa RFC3164 con soporte a TCP y Unix Sockets.
Integrable con Apache Log4j (Syslog4jAppender)
http://syslog4j.org/
SYSLOGSYSLOG
RFC 3164:http://www.ietf.org/rfc/rfc3164.txt3
-RFC 3164:http://www.ietf.org/rfc/rfc3195.txt
-SYSLOG: Vladislav Marinov, Jacobs University Bremen, Alemaniahttp://www.faculty.jacobs-university.de/jschoenwae/nds-2008/marinov-syslog.pdf
-Sitio Syslog: http://www.syslog.org/
Preguntas y/o Comentarios?