Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración del servidor Syslog en un sistema Linux

Un entorno seguro de Junos OS requiere auditar los eventos y almacenarlos en un archivo de auditoría local. Los eventos registrados se envían simultáneamente a un servidor syslog externo. Un servidor syslog recibe los mensajes syslog transmitidos desde el dispositivo. El servidor syslog debe tener un cliente SSH compatible con NETCONF configurado para recibir los mensajes syslog transmitidos.

Utilice los detalles de configuración y establezca una sesión entre el objetivo de evaluación (TOE) y el servidor de auditoría. Examine el tráfico que pasa entre el servidor de auditoría y el TOE durante varias actividades, y los datos de auditoría generados que se transferirán al servidor de auditoría.

Examine la especificación de resumen de TOE (TSS) para asegurarse de que especifica los medios por los cuales se transfieren los datos de auditoría al servidor de auditoría externo y cómo se proporciona el canal de confianza.

Los registros de NDcPP capturan los siguientes eventos:

  • Cambios confirmados

  • Inicio del sistema

  • Inicio de sesión y cierre de sesión de usuarios

  • No establecer una sesión SSH

  • Establecimiento o terminación de una sesión SSH

  • Cambios en la hora del sistema

  • Inicio de una actualización del sistema

Configuración del registro de eventos en un servidor remoto al iniciar la conexión desde el servidor remoto

El siguiente procedimiento describe los pasos para configurar el registro de eventos en un servidor remoto cuando se inicia la conexión SSH al TOE desde el servidor de registro remoto del sistema.

  1. Genere una clave pública RSA en el servidor syslog remoto.

    Se le pedirá que ingrese la frase de contraseña deseada. Se muestra la ubicación de almacenamiento del par de syslog-monitor claves.

  2. En el TOE, cree una clase denominada monitor que tenga permiso para rastrear eventos.
  3. Cree un usuario denominado syslog-mon con el monitor de clase y con autenticación que utilice el syslog-monitor par de claves del archivo de par de claves ubicado en el servidor syslog remoto.
  4. Configure NETCONF con SSH.
  5. Configure syslog para registrar todos los mensajes en /var/log/messages.
  6. En el servidor de registro remoto del sistema, inicie el agente SSH. El inicio es necesario para simplificar el manejo de la clave syslog-monitor.
  7. En el servidor syslog remoto, agregue el par de syslog-monitor claves al agente SSH.

    Se le pedirá que ingrese la frase de contraseña deseada. Escriba la misma frase de contraseña utilizada en el paso 1.

  8. Después de iniciar sesión en la external_syslog_server sesión, establezca un túnel al dispositivo e inicie NETCONF.
  9. Después de establecer NETCONF, configure una secuencia de mensajes de eventos de registro del sistema. Este RPC hará que el servicio NETCONF comience a transmitir mensajes a través de la conexión SSH establecida.
  10. A continuación se enumeran los ejemplos de mensajes syslog. Supervise el registro de eventos generado para las acciones de administrador en TOE tal como se reciben en el servidor syslog. Examine el tráfico que pasa entre el servidor de auditoría y el TOE, observando que estos datos no se ven durante esta transferencia y que el servidor de auditoría los recibe correctamente. Haga coincidir los registros entre el evento local y el evento remoto registrado en un servidor syslog y registre el software concreto (como el nombre, la versión, etc.) utilizado en el servidor de auditoría durante las pruebas.

El siguiente resultado muestra los resultados del registro de pruebas para syslog-server.

Canal de configuración de red

El siguiente resultado muestra los registros de eventos generados en el TOE que se reciben en el servidor syslog.

Canal de configuración de red

El siguiente resultado muestra que los syslogs locales y los syslogs remotos recibidos fueron similares.