switches, etc)
Hay varias ventajas de un sistema de syslog centralizado
• El syslog puede ser conectado en un segmento de red diferente protegido
por un firewall
para mantener más segura la información
• Teniendo los mensajes de todos los equipos, puede hacerse una correlación
de ataques o
fallas en distintos puntos de una manera mucho más sencilla. Por ejemplo si en
el syslog aparece un mensaje de desconexión de la interface de red de varios
servers en el mismo momento, es lógico suponer una falla en el switch donde
estos servers estan conectados.
• Un usuario no deseado que haya ingresado en un server, no podrá alterar los
mensajes que
se hayan almacenado en el server central.
• Se pueden generar alertas usando sistemas de monitoreo de logs.
Sistema de monitoreo de logs

El análisis de logs es una herramienta muy importante para mantener el
control de servers y dispositivos de red.
Sin embargo esta es una de las tareas que más tiempo consume y por
consiguiente que menos se hace.
Con la cantidad de mensajes informativos que se generan en un sistema de
log, detectar en forma manual los mensajes de problemas es muy dificultoso y
con mucha probabilidad de error. Esto se vé aumentado cuando se usa un
sistema de syslog centralizado, donde la información proviene de varias
fuentes distintas. Muchas soluciones de monitoreo se basan en sumarizar la
información de archivos de log de dias previos.
Esto es muy útil para la generación de estadísticas y análisis posterior a una
falla o intrusión, pero no tanto para la resolución de problemas.
Un administrador no puede actuar en forma proactiva, previamente a que el
error ocurra.
Muchas fallas o accesos no autorizados se ven precedidos por mensajes que de
haber sido detectados, podrían haber permitido tomar acciones preventivas.
Por ejemplo, un acceso no autorizado via ssh, puede haber estado precedido
por una gran cantidad de intentos fallidos de acceso.
Disponer una solución online de monitoreo, permite disponer de herramientas
que pueden ayudar a prevenir problemas graves antes que ocurran.
Detectar eventos en el momento que ocurren permite generar acciones en ese
mismo instante y no luego de las consecuencias.
Siguiendo con el ejemplo del acceso ssh, podría bloquearse el acceso ssh
desde determinada dirección IP despues de un número de intentos fallidos de
acceso.
Un concepto que aparece aquí es el de correlación de eventos.