Autore Topic: Syslog collector  (Letto 13446 volte)

Offline xfilesit

  • Newbie
  • *
  • Post: 18
    • Mostra profilo
    • E-mail
Syslog collector
« il: 06 Marzo 2009, 12:21:24 »
In relazione anche alle nuove disposizione del Garante sul ruolo di Amministratore di Systema per quanto riqurda la registrazione degli accessi,avendo in azienda Firewall, swich, appliance,router,server linux e server windows se potete darmi dei consigli sulla scelta di un buon Syslog collector in ambiente linux ed eventualmente di come posso applicare anche la marca temporale.
Grazie a tutti

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #1 il: 06 Marzo 2009, 12:30:21 »
mi associo!

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: Syslog collector
« Risposta #2 il: 06 Marzo 2009, 23:39:50 »
Diciamo che per prima cosa dovresti avere un luogo fisico dove risiedono i server dove l'accesso è sottochiave e deve essere tracciato tramite token o badge.
La zona che definiamo "compartimentata" dovrà avere delle linee dati verso i server ben indicate a livello di progetto ed eventualmente protette ad eventuali aggressioni del tipo man in the middle. 
Risolto questo potresti usare del server linux in HA e relativo storage con syslog-ng che raccoglie tutti i log remoti che invii dalle macchine linux/windows e dai router.
Sulle macchine linux puoi abilitare l'auditing aumentando il livello di tracciamento in modo che ogni cosa venga registrata ed inviata ai log concentrator remoti.
La stessa cosa dovresti poterla fare con i router e swtich indicandogli di inviare tutti i log ai log concentrator. Per quanto riguarda win purtroppo non lo conosco benissimo a livello di log/audit quindi non saprei dirti.
Posta pure se avessi bisogno di ulteriori info.

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #3 il: 10 Marzo 2009, 15:55:44 »
Sto cercando una soluzione che mi permetta di integrare tutto, considerando che ho tutti i client windows, un server 2003 e altre macchine linux (varie distro, prima o poi uniformerò!).

Avete qualche altro suggerimento?

Escludendo al momento il discorso dell'accesso fisico alle macchine ovviamente!

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: Syslog collector
« Risposta #4 il: 10 Marzo 2009, 16:37:29 »
Ciao, qui puoi trovare una soluzione compleata (free) che ti consente di fare log management centralizzato su sistemi misti mediante l'uso di appositi agenti :

http://sial.org/howto/logging/syslog-ng/


P.S.
Ti chiederei poi di creare se utilizzi questa soluzione una piccola guida simile a quella che ti ho indicato da pubblicare sul portale di centos-italia.org

Grazie :-)

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #5 il: 10 Marzo 2009, 16:55:43 »
Grazie darò un'occhiata, se poi procedo con questo vedrò di fare la guida.

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #6 il: 10 Marzo 2009, 17:55:32 »
Per quanto riguarda l'installazione è filato tutto liscio, la configurazione mi è ostica, la dovrò guardare per bene!

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #7 il: 10 Marzo 2009, 18:45:36 »
Come non detto! :(
Al riavvio del servizio dopo alcune modifiche:
Starting syslog-ng:
GThread-ERROR **: file gthread-posix.c: line 135 (): error 'Operation not permitted' during 'pthread_getschedparam (pthread_self(), &policy, &sched)'
aborting...
/bin/bash: line 1:  6465 Abortito                /sbin/syslog-ng
                                                           [FALLITO]
Annullate le modifiche:
Starting syslog-ng:
GThread-ERROR **: file gthread-posix.c: line 135 (): error 'Operation not permitted' during 'pthread_getschedparam (pthread_self(), &policy, &sched)'
aborting...
/bin/bash: line 1:  6465 Abortito                /sbin/syslog-ng
                                                           [FALLITO]


Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #8 il: 11 Marzo 2009, 09:45:08 »
Niente da fare, rimosso gli rpm (ver 2.1.3) provo con l'installazione dai sorgenti della 3.0.1.

Edit:
Sembra difficile, ma non è facile!
Comunque anche se con qualche imprevisto è installato ver. 3.0.1 ora manca il file di configurazione che rispetto alla versione precedente (quella degli rpm che era 2.qualchecosa) sta da un'altra parte e ha pure cambiato le keywords!
« Ultima modifica: 11 Marzo 2009, 10:52:02 da LonelyWolf »

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #9 il: 11 Marzo 2009, 12:58:15 »
Ok, mi sembra strano, ma come destinazione non si può usare logstore con la OSE, file funziona ma mi sembra poco leggibile, devo provare sql anche se non ho alcuna informazione su come deve essere fatto il db!

Purtroppo credo proprio che dovevo dare l'opzione --enable-sql già durante il configure.


Scusate se allungo questo post ma lo uso anche come appunti per l'eventuale guida!

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #10 il: 11 Marzo 2009, 13:49:20 »
Ok, mi sembra strano, ma come destinazione non si può usare logstore con la OSE, file funziona ma mi sembra poco leggibile, devo provare sql anche se non ho alcuna informazione su come deve essere fatto il db!

Purtroppo credo proprio che dovevo dare l'opzione --enable-sql già durante il configure.


Scusate se allungo questo post ma lo uso anche come appunti per l'eventuale guida!

Eccomi qua, installato i libdbi necessari, ma mi manca un dbi.pc, ovvero il supporto pkgconfig (se non ho capito male) alle librerie e quinidi make non riesce a compilare non trovando riferimenti per le funzioni.

Qualche indizio/suggerimento da darmi?


P.S.
Già provveduto a usare ldconfig! :D

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: Syslog collector
« Risposta #11 il: 11 Marzo 2009, 21:45:49 »
Dai un occhiata:

yum search pkgconfig
Plugin caricati:refresh-packagekit
============================== Matched: pkgconfig ==============================
libgda-freetds-devel.i386 : FreeTDS provider for libgda pkgconfig file
libgda-ldap-devel.i386 : LDAP provider for libgda pkgconfig file
libgda-mdb-devel.i386 : MDB provider for libgda pkgconfig file
libgda-mysql-devel.i386 : MySQL provider for libgda pkgconfig file
libgda-odbc-devel.i386 : ODBC provider for libgda pkgconfig file
libgda-postgres-devel.i386 : PostgreSQL provider for libgda pkgconfig file
libgda-sqlite-devel.i386 : SQLite provider for libgda pkgconfig file
libgda-xbase-devel.i386 : XBASE provider for libgda pkgconfig file
pkgconfig.i386 : Tool per determinare le opzioni di compilazione
claws-mail-devel.i386 : Development package for claws-mail
dbus-sharp-devel.i386 : file pkgconfig per D-Bus Sharp
flam3-devel.i386 : C headers to generate and render cosmic recursive fractal
                 : flames
gsf-sharp-devel.i386 : file pkgconfig per gsf-sharp
gtk-sharp-devel.i386 : pkgconfig file for gtk-sharp
gtk-sharp-gapi-devel.i386 : pkgconfig for gapi-sharp
mono-nunit-devel.i386 : pkgconfig per nunit
perl-ExtUtils-PkgConfig.noarch : Simplistic interface to pkg-config


yum search libdbi
Plugin caricati:refresh-packagekit
=============================== Matched: libdbi ================================
libdbi.i386 : Layer di astrazione per C, indipendente da database.
libdbi-dbd-mysql.i386 : Plugin MySQL per libdbi
libdbi-dbd-pgsql.i386 : Plugin PostgreSQL per libdbi
libdbi-dbd-sqlite.i386 : Plugin SQLite per libdbi
libdbi-devel.i386 : File di sviluppo per libdbi (Layer di astrazione per C,
                  : indipendente da database)
libdbi-drivers.i386 : Driver specifico del database per libdbi

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #12 il: 12 Marzo 2009, 08:50:37 »
Grazie dankan ma è la prima cosa che ho fatto.
Purtroppo non c'è, anche per debian etch (ho letto in una mailing list) c'è lo stesso problema e avevano fatto una "patch" a libdbi.
In teoria se riuscissi a impostare in qualche modo dei flags prima di lanciare ./config (che è a posto) e make dovrebbe trovare lo stesso i riferimenti necessari.

Come ho provato fin'ora nulla da fare.

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re: Syslog collector
« Risposta #13 il: 12 Marzo 2009, 11:29:30 »
Ok, trovato la soluzione per i flag, nessun errore questa volta!


Edit:
mi sbatto per trovare soluzioni e poi con la OSE se uso sql non funziona!
« Ultima modifica: 12 Marzo 2009, 12:06:59 da LonelyWolf »

Offline simo

  • Newbie
  • *
  • Post: 1
    • Mostra profilo
Re: Syslog collector
« Risposta #14 il: 28 Ottobre 2009, 13:02:27 »
Ciao, qui puoi trovare una soluzione compleata (free) che ti consente di fare log management centralizzato su sistemi misti mediante l'uso di appositi agenti :

http://sial.org/howto/logging/syslog-ng/


Ok per il log server, ma i log vanno firmati, avete indicazioni al riguardo?