Configurando um servidor de logs

As mensagens das máquinas de sua rede podem ser centralizadas em uma única máquina, isto facilita o gerenciamento, análise e solução de problemas que ocorrem nas máquinas da rede. Mais importante ainda é que qualquer invasão a estação de trabalho não será registrada localmente (podendo ser apagada posteriormente pelo invasor, isso é comum).

Configurando o servidor de logs

Caso esteja usando o rsyslog, ative os módulos module(load='imudp') e module(load='imtcp'). e a opção input() correspondente ao protocolo usado TCP/UDP no /etc/rsyslog.conf colocando a opção e reinicie o serviço usando systemctl restart rsyslog.

Configurando máquinas cliente

Modifique o arquivo /etc/rsyslogd.conf (veja “Arquivo de configuração rsyslog.conf colocando o nome do computador seguido de "@" para redirecionar as mensagens dos logs:

auth,authpriv.*                 @servlog
*.*;auth,authpriv.none          @servlog
cron.*                          @servlog
daemon.*                        @servlog
kern.*                          -/var/log/kern.log
kern.*						@servlog
lpr.*                           @servlog
mail.*                          /var/log/mail.log
user.*                          -/var/log/user.log
user.*						@servlog
uucp.*                          -/var/log/uucp.log

E reinicie o daemon rsyslogd da máquina cliente para re-ler o arquivo de configuração: killall -HUP rsyslogd ou systemctl restasrt rsyslog.

OBS1: Mantenha o relógio do servidor de logs sempre atualizado (use o ntpdate ou chrony ou outro daemon de sincronismo NTP para automatizar esta tarefa).

OBS2: Se desejar modificar a localização padrão do /etc/rsyslog.conf, modifique o arquivo syslogd.c na linha:

#define _PATH_LOGCONF   "/etc/syslog.conf"

Use a imaginação para escolher um nome de arquivo e localização que dificulte a localização deste arquivo por pessoas não autorizadas.

OBS3: Em uma grande rede, é recomendável configurar um computador dedicado como servidor de log (desativando qualquer outro serviço) e configurar o iptables para aceitar somente o tráfego indo para a porta UDP e TCp 514 (syslogd):

iptables -P INPUT DROP
iptables -A INPUT -p udp --dport 514 -j ACCEPT
iptables -A INPUT -p udp --dport 514 -j ACCEPT