As mensagens das máquinas de sua rede podem ser centralizadas em uma única máquina, isto facilita o gerenciamento, análise e solução de problemas que ocorrem nas máquinas da rede. Mais importante ainda é que qualquer invasão a estação de trabalho não será registrada localmente (podendo ser apagada posteriormente pelo invasor, isso é comum).
Caso esteja usando o rsyslog, ative os módulos
module(load='imudp') e module(load='imtcp').
e a opção input() correspondente ao protocolo usado
TCP/UDP no /etc/rsyslog.conf colocando a opção
e reinicie o serviço usando systemctl restart rsyslog.
Modifique o arquivo /etc/rsyslogd.conf (veja “Arquivo de configuração rsyslog.conf” colocando o nome do computador seguido de "@"
para redirecionar as mensagens dos logs:
auth,authpriv.* @servlog *.*;auth,authpriv.none @servlog cron.* @servlog daemon.* @servlog kern.* -/var/log/kern.log kern.* @servlog lpr.* @servlog mail.* /var/log/mail.log user.* -/var/log/user.log user.* @servlog uucp.* -/var/log/uucp.log
E reinicie o daemon rsyslogd da máquina cliente para re-ler o
arquivo de configuração: killall -HUP rsyslogd ou
systemctl restasrt rsyslog.
OBS1: Mantenha o relógio do servidor de logs sempre atualizado (use o ntpdate ou chrony ou outro daemon de sincronismo NTP para automatizar esta tarefa).
OBS2: Se desejar modificar a localização
padrão do /etc/rsyslog.conf, modifique o arquivo
syslogd.c na linha:
#define _PATH_LOGCONF "/etc/syslog.conf"
Use a imaginação para escolher um nome de arquivo e localização que dificulte a localização deste arquivo por pessoas não autorizadas.
OBS3: Em uma grande rede, é recomendável configurar um computador dedicado como servidor de log (desativando qualquer outro serviço) e configurar o iptables para aceitar somente o tráfego indo para a porta UDP e TCp 514 (syslogd):
iptables -P INPUT DROP iptables -A INPUT -p udp --dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
Copyright © 1999-2020 - Gleydson Mazioli da Silva