Syslog es un sistema de logs que se encarga principalmente de la administración de logs, los cuales son generados por eventos del sistema, sus programas o por el Kernel. Para lograr capturar y administrar los logs que se generan permanentemente sin ningún aviso, syslog utiliza un demonio que se encarga de capturar cualquier log generado. Este demonio se llama syslogd.
Configuración de Syslog
El archivo el cual se puede utilizar para la configuración de syslog se encuentra en:
/etc/syslog.conf (Ver Anexo 1).
Cada entrada que se encuentra en este archivo se divide principalmente en 2 campos. El primero que se encuentra es el camp ºo Selector en el cual se especifican 2 cosas principalmente, las cuales son la facilidad y la prioridad del log.
La facilidad hace referencia al sub-sistema que esta generando dicho log, mientras que la prioridad como su nombre lo indica se refiere a que tan importante es el log que esta definido en dicho campo.
En el segundo campo, denominado acción se especifica que se va hacer con el log, ya sea guardarlo en algún archivo o enviarlo a otra maquina. Es importante recordar que syslog utiliza el protocolo UDP[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn17 [17]]] (capa de transporte, puerto 514) para el transporte de logs, de esta forma es factible enviar un log a otras maquinas.
Esquema de un campo:
|| Selector || Acción ||
|| Facilidad || Prioridad ||
Ejemplo de una línea del archivo
*.alert /device/console
En ejemplo anterior se definió el envió de todos los mensajes, sin importar la facilidad, de prioridad “Alert” a la consola de usuario.
Algunas Reglas de syslog.conf
- Para separar el selector de la acción se utiliza un espacio.
- Para separar la facilidad de la prioridad se utiliza un “.” (punto)
- Varios selectores (lo cual es posible) se separan por medio “;” (punto y coma).
- Varias facilidades se separan por medio de una “,” (coma).
- Para indicar que una acción es para todos los usuarios que se encuentren conectados se emplea “*” (asterisco).
- Cuando en una acción se desea mostrar que el log va a ir a una maquina se precede la dirección con @ (arroba).p.e.
Kern.Emerge @r6.forense.edu.co
Facilidades y Prioridades
|| Facilidad || Código || Palabra Clave ||
|| LOG_KERN || (0<<3) || Kern ||
|| LOG_USER || (1<<3) || User ||
|| LOG_MAIL || (2<<3) || Mail ||
|| LOG_DAEMON || (3<<3) || Daemon ||
|| LOG_AUTH || (4<<3) || Auth ||
|| LOG_SYSLOG || (5<<3) || Syslog ||
|| LOG_LPR || (6<<3) || Lpr ||
|| LOG_NEWS || (7<<3) || News ||
|| LOG_UUCP || (8<<3) || Uucp ||
|| LOG_CRON || (9<<3) || Cron ||
|| Códigos del 10 al 15 reservados para uso del sistema. ||
|| LOG_LOCAL[0-7] || (16-23<<3) || Reserved for local use ||
Tabla 1. Descripción de las Facilidades [16]
|| Símbolo || Código || Palabra Clave ||
|| LOG_EMERG || 0 || Emerge ||
|| LOG ALERT || 1 || Alert ||
|| LOG_CRIT || 2 || Crit ||
|| LOG_ERR || 3 || Err ||
|| LOG_WARNING || 4 || Warning ||
|| LOG_NOTICE || 5 || Notice ||
|| LOG_INFO || 6 || Info ||
|| LOG_DEBUG || 7 || Debug ||
Tabla 2. Descripción de las prioridades [17]
No se entrará en detalle con respecto a Syslog pues no es el objeto de este documento para más información acerca de la herramienta por favor dirigirse a [18].
En nuestro caso la red no cuenta con un servidor de nombre se configuró el archivo /etc/hosts, de esta manera cada pc esta en la capacidad de resolver el nombre del servidor de logs que en nuestro caso es taller.forense.edu.co.
Línea anexada al archivo:
192.168.10.24 r4 taller.forense.edu.co
Por último, para la establecer que el servidor reciba los logs remotos se configura el archivo /etc/sysconfig/syslog añadiendo la siguiente línea:
SYSLOGD_OPTIONS="${SYSLOGD-OPTIONS} -r"
Donde la opción –r, habilita registro desde maquinas remotas. La variable SYSLOGD-OPTIONS define, en este caso las opciones ya establecidas anteriormente en el archivo.
