longcheck
Páginas: 7 (1678 palabras)
Publicado: 14 de junio de 2014
LOGCHECK Y LOGSURFER
CARLOS HERNAN ACERO
UNIVERSIDAD MINUTO DE DIOS
FACULTAD DE INGENIERÍAS
INGENIERIA DE SISTEMAS
LOGCHECK Y LOGSURFER
Los archivos de log contienen los registros de lo que ocurre en un sistema Linux y los servicios que se ejecutan.
Herramientas como Logcheck y Logsurfer filtran los eventos más importantes para el administrador eincluso, pueden desencadenar una reacción adecuada de forma automática.
La mayor parte de los administradores de sistemas se basan en los archivos de log debido a que son una importante fuente de seguridad y de solución de problemas.
La información del sistema por lo general se encuentra en varios archivos de registro diferentes encada equipo y un único especialista en TI puede tener quecontrolar docenas o incluso, cientos de ordenadores.
En este contexto, la antigua técnica de peinar los archivos de registro de forma manual en busca de información sospechosa hace mucho tiempo que perdió sentido. Muchos administradores utilizan herramientas de filtrado de texto tales como grep, para buscar advertencias o eventos específicos.
Grep y sus homólogos buscadores de texto siguendesempeñando un papel importante en la red, pero si estamos buscando un poco de alivio a la tediosa tarea de monitorizar archivos de log, es posible que deseemos probar una herramienta de análisis de registros
La sencilla herramienta de análisis de logs, Logcheck [1], reúne datos de varios registros en un único archivo y filtra los datos relevantes a través del uso de expresiones regulares. Por suparte, Logsurfer [2], un poco más sofisticada, ofrece algunas características adicionales para organizar la información del log.
Tanto Logcheck como Logsurfer permiten pre-configurar una respuesta automática a los avisos del sistema y otras entradas críticas del registro.
Presentación de Logcheck
El archivo léeme de Logcheck ofrece esta breve descripción de esta sencilla pero versátilherramienta: “Logcheck compara las entradas de log recientes con una serie de conjuntos de patrones de coincidencia de egrep que las etiquetan como urgentes o las filtran rutinariamente y envía por correo electrónico los resultados al administrador “Una vez que configuramos Logcheck,éste vigila constantemente nuestros archivos /var/ log/ syslog y /var/ log/ auth.log, filtrando los sucesos sin importanciay enviando por correo un resumen de los eventos más importantes al administrador del sistema
Logcheck revisa periódicamente las bitácoras del sistema , analizando cada una de las líneas y clasificándola según diferentes niveles de alerta, reportándolo al administrador del sistema
en un formato fácil de leer, descartando las líneas que no tengan relevancia, y --típicamente-- enviándolo porcorreo. Logcheck checará cada línea contra cuatro niveles de seguridad:
Ignorar, actividad inusual, violación de seguridad y ataque. Logcheck no es un programa reciente --la última revisión es de 1997. Sin embargo, su filosofía básica lo hacen aún válido y muy útil, y probablemente no han aparecido nuevas versiones pues no hay nada que agregar, y siendo un programa tan simple, ninguna vulnerabilidad hasido encontrada desde entonces.
Con el cliente de correo adecuado y los filtros correspondientes, podemos almacenar los registros por hosts o grupos en carpetas. Esta técnica nos da una visión general de todos nuestros sistemas de un sólo vistazo, sin necesidad de acceder a ellos. Tras el escenario, Logcheck usa el programa Logtail para monitorizar y ensamblar las entradas del registro.(Logtail suele ser parte del paquete de Logcheck). Logtail recupera la información de log de varios registros y muestra solamente las líneas de un archivo que no se han mostrado con anterioridad. Para ello, Logtail crea un segundo archivo llamado filename.offset para cada registro y guarda la información del inodo del archivo, tomando nota de la posi-ción que se ha leído con anterioridad.Cada hora, en...
LOGCHECK Y LOGSURFER
CARLOS HERNAN ACERO
UNIVERSIDAD MINUTO DE DIOS
FACULTAD DE INGENIERÍAS
INGENIERIA DE SISTEMAS
LOGCHECK Y LOGSURFER
Los archivos de log contienen los registros de lo que ocurre en un sistema Linux y los servicios que se ejecutan.
Herramientas como Logcheck y Logsurfer filtran los eventos más importantes para el administrador eincluso, pueden desencadenar una reacción adecuada de forma automática.
La mayor parte de los administradores de sistemas se basan en los archivos de log debido a que son una importante fuente de seguridad y de solución de problemas.
La información del sistema por lo general se encuentra en varios archivos de registro diferentes encada equipo y un único especialista en TI puede tener quecontrolar docenas o incluso, cientos de ordenadores.
En este contexto, la antigua técnica de peinar los archivos de registro de forma manual en busca de información sospechosa hace mucho tiempo que perdió sentido. Muchos administradores utilizan herramientas de filtrado de texto tales como grep, para buscar advertencias o eventos específicos.
Grep y sus homólogos buscadores de texto siguendesempeñando un papel importante en la red, pero si estamos buscando un poco de alivio a la tediosa tarea de monitorizar archivos de log, es posible que deseemos probar una herramienta de análisis de registros
La sencilla herramienta de análisis de logs, Logcheck [1], reúne datos de varios registros en un único archivo y filtra los datos relevantes a través del uso de expresiones regulares. Por suparte, Logsurfer [2], un poco más sofisticada, ofrece algunas características adicionales para organizar la información del log.
Tanto Logcheck como Logsurfer permiten pre-configurar una respuesta automática a los avisos del sistema y otras entradas críticas del registro.
Presentación de Logcheck
El archivo léeme de Logcheck ofrece esta breve descripción de esta sencilla pero versátilherramienta: “Logcheck compara las entradas de log recientes con una serie de conjuntos de patrones de coincidencia de egrep que las etiquetan como urgentes o las filtran rutinariamente y envía por correo electrónico los resultados al administrador “Una vez que configuramos Logcheck,éste vigila constantemente nuestros archivos /var/ log/ syslog y /var/ log/ auth.log, filtrando los sucesos sin importanciay enviando por correo un resumen de los eventos más importantes al administrador del sistema
Logcheck revisa periódicamente las bitácoras del sistema , analizando cada una de las líneas y clasificándola según diferentes niveles de alerta, reportándolo al administrador del sistema
en un formato fácil de leer, descartando las líneas que no tengan relevancia, y --típicamente-- enviándolo porcorreo. Logcheck checará cada línea contra cuatro niveles de seguridad:
Ignorar, actividad inusual, violación de seguridad y ataque. Logcheck no es un programa reciente --la última revisión es de 1997. Sin embargo, su filosofía básica lo hacen aún válido y muy útil, y probablemente no han aparecido nuevas versiones pues no hay nada que agregar, y siendo un programa tan simple, ninguna vulnerabilidad hasido encontrada desde entonces.
Con el cliente de correo adecuado y los filtros correspondientes, podemos almacenar los registros por hosts o grupos en carpetas. Esta técnica nos da una visión general de todos nuestros sistemas de un sólo vistazo, sin necesidad de acceder a ellos. Tras el escenario, Logcheck usa el programa Logtail para monitorizar y ensamblar las entradas del registro.(Logtail suele ser parte del paquete de Logcheck). Logtail recupera la información de log de varios registros y muestra solamente las líneas de un archivo que no se han mostrado con anterioridad. Para ello, Logtail crea un segundo archivo llamado filename.offset para cada registro y guarda la información del inodo del archivo, tomando nota de la posi-ción que se ha leído con anterioridad.Cada hora, en...
Leer documento completo
Regístrate para leer el documento completo.