registros determinados de n* servidores. Que se disponga de una interfaz de
acceso a esos datos, para la organizacion y procesamiento de los mismos, con
lo cual se podran detectar eventos, resolver situaciones y emitir distintos tipos
de alarmas.
Syslog es un estándar de facto para el envío de mensajes de registro en una
red informática IP. Por syslog se conoce tanto al protocolo de red como a la
aplicación o biblioteca que envía los mensajes de registro.
Un mensaje de registro suele tener información sobre la seguridad del sistema,
aunque puede contener cualquier información. Junto con cada mensaje se
incluye la fecha y hora del envío.
Es útil registrar, por ejemplo:
• Un intento de acceso con contraseña equivocada
• Un acceso correcto al sistema
• Anomalías: variaciones en el funcionamiento normal del sistema
• Alertas cuando ocurre alguna condición especial
• Información sobre las actividades del sistema operativo
• Errores del hardware o el software
También es posible registrar el funcionamiento normal de los programas; por
ejemplo, guardar cada acceso que se hace a un servidor web, aunque esto
suele estar separado del resto de alertas.
El protocolo syslog es muy sencillo: existe un ordenador servidor ejecutando el
servidor de syslog, conocido como syslogd (demonio de syslog). El cliente
envía un pequeño mensaje de texto (de menos de 1024 bytes).
Los mensajes de syslog se suelen enviar vía UDP, por el puerto 514, en formato
de texto plano. Algunas implementaciones del servidor, como syslog-ng,
permiten usar TCP en vez de UDP, y también ofrecen Stunnel para que los
datos viajen cifrados mediante SSL/TLS.
Generalidades de un sistema de log.
Log es el registro de acciones y eventos que tienen lugar en un sistema.
Los logs son el primer registro de la actividad en los sistemas y redes.
Los logs de un sistema son una parte primaria de la seguridad y pueden ser
usados en la detección de ataques e intrusiones, así como en el análisis de
fallas de hardware y software.
El programa syslog, es una interface que provee un framework standard para
que tanto programas como el mismo sistema operativo puedan generar
mensajes que peuden ser almacenados localmente o ser enviados a un host
remoto. Originalmente escrito para Unix, se convirtió en un standard que se
usa en muchos sistemas operativos y dispositivos de red.
¿ Cual es la utilidad de un sistema de syslog centralizado ?
En un sistema de syslog centralizado, un server común recibe todos los
mensajes de syslog de todos los sistemas de la red. Esto incluye logs de los
servers Unix/linux/Windows etc, firewalls, y dispositivos de red (routers,