[MASOCH-L] RES: Syslog centralizado

Rafael Stein rafael at moebius.com.br
Fri Jul 27 14:56:12 -03 2012


Voce pode utilizar o próprio rsyslog para filtrar e dependendo da expressão
que você desejar enviar um email de alerta
http://www.rsyslog.com/doc/rsyslog_conf_filter.html

eu utilizo isso e funciona super bem...pois os alertas vao direto para o
pessoal do helpdesk

atc
  Rafael S.

-----Mensagem original-----
De: masoch-l [mailto:masoch-l-bounces at eng.registro.br] Em nome de Marcio
Merlone
Enviada em: sexta-feira, 27 de julho de 2012 14:17
Para: masoch-l at eng.registro.br
Assunto: [MASOCH-L] Syslog centralizado

Grandes colegas,

Antes de mais nada, a minha pergunta não é "como centralizar o syslog"! 
:) Isto já foi feito, a pergunta é: e agora?

Já tenho o log de todos os servidores *nix e vários dispositivos de rede
centralizados em um servidor rsyslog (Ubuntu 10.04.4 LTS). Em mais ou menos
1 mês já tenho mais de 2GB de logs, entre mail, auth, squid, bind, dhcp,
switches, roteadores, etc.

A primeira coisa que fiz foi instalar um analisador de logs (1), mas além de
feio ele parece meio burro, apenas filtra. Tem um monte de coisinhas
bacanas, realmente facilita e agiliza muito a inspeção, isto vai ser bom pro
colega de helpdesk verificar se algum email deixou de entrar por bloqueio de
spam, coisa que hoje faço com grep no mail.log diretamente.

Mas gostaria de ter um pouco mais de inteligência no assunto, no mínimo
estatísticas, dashboard, algo que chame atenção pro que realmente é
importante. Cheguei a ver o Splunk (2), mas ele não se deu bem com o
mail.log tendo log do dovecot junto ao do postfix, nem do squid via syslog,
que coloca campos a mais, entre outros pequenos detalhes·

Cheguei a considerar o uso do mysql pra manter os logs (3) mas não sei ainda
qual o benefício, imediato ou não, que isto poderia me trazer além de
inutilizar o logrotate - considerando que isto seja um benefício.

Gostaria da opinião, sugestões, testemunhos, juramentos e experiência dos
senhores a respeito do assunto, preferencialmente com foco em análise de
segurança (complementando um bom IDS), antes de tomar algum caminho.

Grato a todos.

(1) http://loganalyzer.adiscon.com/
(2) http://www.splunk.com/product
(3)
http://www.techrepublic.com/blog/opensource/set-up-rsyslog-to-store-syslog-m
essages-in-mysql/1174

--
*Marcio Merlone*
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list