[Question] Re: Log server how to |
17/01/2009 04:42:19 (+0700) | #31 | 166766 |
|
tranvanminh
HVA Friend
|
Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline
|
|
Không lão , ý tui là lão nói ,
Có 1 vài hệ thống mà log file cực kỳ quan trọng. Nếu dùng cron tab hoặc log không ở dạng real-time, attacker có thể dễ dàng fake log hoặc erase log trong khi log chưa đổ về log server. Tui đang xem xét coi có giải pháp nào như vậy không:
Monitor log file, xem changes về date, time, size chẳng hạn, xong đẩy về server.
cho nên tui mới không hiểu tại sao lão lại ra ý tưỡng làm cái xem thay đổi log hay date , time , size rồi đưa về log server ấy . Tui chỉ thắc mắc là làm vậy liệu có chắc là sẽ không bị xóa log hay thay đổi log hay không .
Nếu có thể phòng chống được thì ở trong trường họp nào và điệu kiện nào để tui bắt chước mà .
|
|
|
[Question] Re: Log server how to |
17/01/2009 06:46:30 (+0700) | #32 | 166790 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
ah, cái vụ time là trước kia tui không biết giải pháp nào để thiết lập log central thôi. Chứ sau khi apply rồi thì không cần quan tâm đến time, size này nọ nữa vì syslog agent tự động về hết.
Trong trường hợp của tui thì syslog central khá quan trọng vì nó có thể lưu nhiều bằng chứng (có thể là giả) sau này. Nên nếu được, có thể thiết lập firewall để chặn tất cả truy tập từ trong ra, từ ngoài vào (trừ 1 số IP nhất định), chỉ cho từ ngoài đổ log vào thông qua port 514. |
|
|
[Question] Re: Log server how to |
13/04/2011 14:42:58 (+0700) | #33 | 235368 |
bigcat2009
Member
|
0 |
|
|
Joined: 23/02/2011 20:48:20
Messages: 1
Offline
|
|
LeVuHoang wrote:
Hôm nay quấn tã lôi cái chủ đề này lên . Tui đã thử apply 1 cái central log và thấy cũng ok.
Mô hình như sau:
Sử dụng server log là syslog-ng
Các agent Windows sử dụng Snare Agent for Windows, còn Linux thì dùng chính syslogd
Code:
Syslogd |
-----> Syslog-ng open source
Snare for Windows |
Agent và server liên lạc với nhau thông qua UDP và thời gian log cũng có thể coi như chế độ thực. Tui thử từ server này, gõ "sudo ls -l", bên central ngay lập tức có log của agent đó.
Anh ơi! anh có thể hướng dẫn rõ hơn mô hình và cách cấu hình như thế nào không. Mong anh giúp đỡ!Cảm ơn anh rất nhiều! |
|
|
[Question] Log server how to |
14/03/2013 14:37:37 (+0700) | #34 | 274091 |
tohoai1084
Member
|
0 |
|
|
Joined: 20/11/2007 12:44:33
Messages: 3
Offline
|
|
Hiện tại hệ thống công ty mình có rất nhiều app trên linux mình muốn tập trung những log này lại và phân tích log. Anh em nao biết co thể hướng dẫn dùm. |
|
|
[Question] Log server how to |
14/03/2013 14:39:38 (+0700) | #35 | 274092 |
tohoai1084
Member
|
0 |
|
|
Joined: 20/11/2007 12:44:33
Messages: 3
Offline
|
|
Hiện tại hệ thống công ty mình có rất nhiều app trên linux mình muốn tập trung những log này lại và phân tích log. Anh em nao biết co thể hướng dẫn dùm. |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|