English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Log server how to  XML
Go to Page:  First Page Page 1
  [Question]   Re: Log server how to 17/01/2009 04:42:19 (+0700) | #31 | 166766
[Avatar]
 tranvanminh
HVA Friend
Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline
[Profile] [PM]
Không lão , ý tui là lão nói ,

Có 1 vài hệ thống mà log file cực kỳ quan trọng. Nếu dùng cron tab hoặc log không ở dạng real-time, attacker có thể dễ dàng fake log hoặc erase log trong khi log chưa đổ về log server. Tui đang xem xét coi có giải pháp nào như vậy không:
Monitor log file, xem changes về date, time, size chẳng hạn, xong đẩy về server.
 


cho nên tui mới không hiểu tại sao lão lại ra ý tưỡng làm cái xem thay đổi log hay date , time , size rồi đưa về log server ấy . Tui chỉ thắc mắc là làm vậy liệu có chắc là sẽ không bị xóa log hay thay đổi log hay không .
Nếu có thể phòng chống được thì ở trong trường họp nào và điệu kiện nào để tui bắt chước mà .

[Up] [Print Copy]
  [Question]   Re: Log server how to 17/01/2009 06:46:30 (+0700) | #32 | 166790
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
ah, cái vụ time là trước kia tui không biết giải pháp nào để thiết lập log central thôi. Chứ sau khi apply rồi thì không cần quan tâm đến time, size này nọ nữa vì syslog agent tự động về hết.
Trong trường hợp của tui thì syslog central khá quan trọng vì nó có thể lưu nhiều bằng chứng (có thể là giả) sau này. Nên nếu được, có thể thiết lập firewall để chặn tất cả truy tập từ trong ra, từ ngoài vào (trừ 1 số IP nhất định), chỉ cho từ ngoài đổ log vào thông qua port 514.
[Up] [Print Copy]
  [Question]   Re: Log server how to 13/04/2011 14:42:58 (+0700) | #33 | 235368
bigcat2009
Member
[Minus]    0    [Plus]
Joined: 23/02/2011 20:48:20
Messages: 1
Offline
[Profile] [PM]

LeVuHoang wrote:
Hôm nay quấn tã lôi cái chủ đề này lên smilie. Tui đã thử apply 1 cái central log và thấy cũng ok.
Mô hình như sau:
Sử dụng server log là syslog-ng
Các agent Windows sử dụng Snare Agent for Windows, còn Linux thì dùng chính syslogd

Code:
Syslogd            |
                   -----> Syslog-ng open source
Snare for Windows  |


Agent và server liên lạc với nhau thông qua UDP và thời gian log cũng có thể coi như chế độ thực. Tui thử từ server này, gõ "sudo ls -l", bên central ngay lập tức có log của agent đó. 


Anh ơi! anh có thể hướng dẫn rõ hơn mô hình và cách cấu hình như thế nào không. Mong anh giúp đỡ!Cảm ơn anh rất nhiều!
[Up] [Print Copy]
  [Question]   Log server how to 14/03/2013 14:37:37 (+0700) | #34 | 274091
tohoai1084
Member
[Minus]    0    [Plus]
Joined: 20/11/2007 12:44:33
Messages: 3
Offline
[Profile] [PM]
Hiện tại hệ thống công ty mình có rất nhiều app trên linux mình muốn tập trung những log này lại và phân tích log. Anh em nao biết co thể hướng dẫn dùm.
[Up] [Print Copy]
  [Question]   Log server how to 14/03/2013 14:39:38 (+0700) | #35 | 274092
tohoai1084
Member
[Minus]    0    [Plus]
Joined: 20/11/2007 12:44:33
Messages: 3
Offline
[Profile] [PM]
Hiện tại hệ thống công ty mình có rất nhiều app trên linux mình muốn tập trung những log này lại và phân tích log. Anh em nao biết co thể hướng dẫn dùm.
[Up] [Print Copy]
Go to Page:  First Page Page 1
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|