Centralizando a visualização de logs com Ossec-Hids

by

Em um ambiente com um servidor, que precisa ser tolerante à falhas é essencial uma boa olhada nos logs de vez em quando. Mas e no caso de vários servidores a serem monitorados? Pois bem, neste post apresentarei o Ossec-Hids. Uma ótima ferramenta de monitoração de logs, que permite a centralização deles. Então mesmo tendo muitos servidores à monitorar, você vai precisar olhar somente em um lugar. Isso porque o Ossec-Hids funciona como um servidor de logs, recebendo a informação dos clientes e apresentando em uma interface WEB.
Além de apresentar os logs de uma maneira centralizada, o Ossec também faz a checagem de integridade no filesystem. Você terá o controle de arquivos criados, modificados, deletados. Tudo configurável à partir dos arquivos na estrutura xml do Ossec, inclusive as regras de monitoramento e alarme dos logs.
Ah, ía me esquecendo, o desenvolvedor e mantenedor do Ossec é um brasileiro. Bem mãos a obra.

Instalando
Baixe o software aqui.
Descompacte o ossec-hids-1.4.tar.gz.

tar -zxvf ossec-hids-1.4.tar.gz

Rode o ./install.sh.
O script perguntará qual tipo de instalação você fará

  • server – será o server que tratará os logs
  • agent – cliente que enviará os logs pro server
  • local – no caso de apenas um servidor sem agents a monitorar logs.

Escolha server.
A seguir, o script aplicará as RULES (regras) em alguns logs (messages/secure…), compilará os módulos e te perguntará o tipo de arquivo de inicialização rc.d ou red hat like (/etc/init.d).

WEB GUI
Para instalar o WEB GUI você precisará do Apache e PHP
WEB GUI aqui.
Descompacte o arquivo no ROOT do seu apache (ex. /var/www/html).

tar -zxvf ossec-wui-0.2.tar.gz -C /var/www/html</span>\

Entre na pasta e rode o ./setup.sh
Depois adicione o usuário do seu serv. WEB (ex. apache) no grupo OSSEC

gpasswd -a ossec apache

acesse a URL http://localhost/ossec-wui

Agents (clients)

Os clients podem ser tanto Linux como Windows
A versão windows aqui.
A versão Linux é o mesmo tar.gz da instalação do server, você só precisará mudar na hora de escolher o tipo de instalação. Escolha Agent.
Rode ./install.sh.
no tipo de instalação escolha agent
informe o IP do servidor quando for solicitado.

Adicionando os agents
A comunicação entre os agents e o server é criptografada. Para adicionar os agents é necessário uma chave que será criada no server. Para isso, no Server, entre no diretório /var/ossec/bin e rode ./manage_agents.
O comando te lista 5 opções. Para adicionar os agentes escolha a opção “(A)dd an agent (A)”,
informe um nome e o IP do agente (client). Depois de adicionado o agente, será necessário extrair a chave.
Escolha a opção “(E)xtract key for an agent (E)”, o script listará os agentes disponíveis, identificados por um ID. Escolha o agent. E a chave será impressa na tela.
Vá no agent, na pasta /var/ossec/bin e rode o mesmo ./manage_agents. Escolha a opção (I)mport key for the server (I). E cole a chave.
Agora só reiniciar o serviço Ossec

/etc/init.d/ossec restart (no server e no agent).

O Ossec permite muito controle sobre o que é apresentado ou não. No diretório /var/ossec/rules estão todas as regras aplicadas nos logs.
Você pode filtrar uma mensagem específica no log (fazendo uma regex), mandar printar só se aparecer N vezes, enfim, uma infinidade de opções que valem muito a pena serem exploradas.

Ah, e tem o Active Response, que é uma medida que o Ossec toma caso alguma regra que você configurou bata. Ex. colocar um IP em /etc/hosts.deny após algumas tentativas de acessos sem sucesso por ssh, executar comandos específicos, scripts…. Aí é soltar a imaginação.

O site oficial é http://www.ossec.net
Vale muito a pena dar uma olhada no “http://www.ossec.net/main/manual/” para poder filtrar melhor os alarmes.

Até mais e espero que gostem,

Adelson Junior

Uma resposta to “Centralizando a visualização de logs com Ossec-Hids”

  1. Rodrigo Ribeiro Says:

    Só para reinterar a informação, a alguns dias atrás enviei uma dica ao grupo Ensinar, referindo-se ao mesmo assunto, que no caso seria o programa “phpLogCon”, que também gerencia logs de aplicações, tando do Windows como do Linux, via WEB. Se alguém tiver interesse ou quiser rever a dica é só entrar no grupo e procurar por “phpLogCon” ou ir direto ao site da notícia: http://www.guiadohardware.net/noticias/2008-09/48BF432D.html

    Sendo só para o momento, agradeço também ao Adelson Júnior pela nova informação adquirida por mim, oriunda desse post no blog!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: