Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração de servidor Syslog de amostra em um sistema Linux

Um ambiente seguro do Junos OS requer auditoria de eventos e armazenamento em um arquivo de auditoria local. Os eventos registrados são enviados simultaneamente a um servidor externo de syslog. Um servidor de syslog recebe as mensagens de syslog transmitidas do dispositivo. O servidor de syslog deve ter um cliente SSH com suporte NETCONF configurado para receber as mensagens de syslog transmitidas.

Os logs NDcPP capturam os eventos, poucos deles estão listados abaixo:

  • Mudanças comprometidas

  • Login e logotipo de usuários

  • Falha em estabelecer uma sessão de SSH

  • Estabelecimento ou encerramento de uma sessão de SSH

  • Mudanças no tempo do sistema

Configuração do registro de eventos em um arquivo local

Você pode configurar o armazenamento de mensagens em um arquivo local e o nível de detalhe a ser registrado com a syslog declaração. Este exemplo armazena logs em um arquivo chamado syslog:

Configuração do registro de eventos em um servidor remoto

Configure a exportação de informações de auditoria para um servidor seguro e remoto configurando um monitor de rastreamento de eventos que envia mensagens de log de eventos usando o NETCONF sobre SSH para o servidor de registro de eventos do sistema remoto. Os procedimentos a seguir mostram a configuração necessária para enviar mensagens de log do sistema para um servidor externo seguro usando o NETCONF sobre SSH.

Configuração do registro de eventos em um servidor remoto ao iniciar a conexão a partir do servidor remoto

O procedimento a seguir descreve as etapas para configurar o registro de eventos em um servidor remoto quando a conexão SSH com o TOE é iniciada a partir do servidor de log do sistema remoto.

  1. Gere uma chave pública RSA no servidor de syslog remoto.

    Você será solicitado a entrar na senha desejada. O local de armazenamento do syslog-monitor par chave é exibido.

  2. No TOE, crie uma classe nomeada com monitor permissão para rastrear eventos.
  3. Crie um usuário com syslog-mon o monitor de classe e, com a autenticação, use o syslog-monitor par-chave do arquivo de par chave localizado no servidor de syslog remoto.
  4. Configure o NETCONF com o SSH.
  5. Configure o syslog para registrar todas as mensagens em /var/log/messages.
  6. No servidor de log do sistema remoto, inicie o agente SSH. A inicialização é necessária para simplificar o manuseio da chave do monitor de syslog.
  7. No servidor de syslog remoto, adicione o syslog-monitor par-chave ao agente SSH.

    Você será solicitado a entrar na senha desejada. Digite a mesma senha usada na Etapa 1.

  8. Após fazer login external_syslog_server na sessão, estabeleça um túnel para o dispositivo e inicie a NETCONF.
  9. Após a criação do NETCONF, configure um fluxo de mensagens de eventos de log do sistema. Esse RPC fará com que o serviço NETCONF comece a transmitir mensagens pela conexão SSH estabelecida.
  10. Os exemplos de mensagens de syslog estão listados abaixo. Monitore o log de eventos gerado para ações administrativas no TOE conforme recebido no servidor do syslog. Examine o tráfego que passa entre o servidor de auditoria e o TOE, observando que esses dados não são visualizados durante esta transferência e que eles são recebidos com sucesso pelo servidor de auditoria. Combine os logs entre o evento local e o evento remoto logado em um servidor de syslog e registre o software específico (como nome, versão e assim por diante) usado no servidor de auditoria durante o teste.

A saída a seguir mostra os resultados do log de teste para o servidor de syslog.

Canal de configuração líquida

A saída a seguir mostra logs de eventos gerados no TOE que são recebidos no servidor do syslog.

Canal de configuração líquida

A saída a seguir mostra que os syslogs locais e os syslogs remotos recebidos são semelhantes.