terça-feira, janeiro 26, 2016

, , ,

Centralizador de log's com loganalyser


Hello Modafokers! 

- Dando continuidade ao post anterior sobre auditoria de compartilhamentos, iremos explanar neste post algumas configurações para comunicação do seu cliente Windows com o servidor loganalyser, para isso iremos imaginar o seguinte ambiente. 

SRV-LOG: Servidor Rsyslog+loganalyser. 
Clientes: Estações de trabalho Window$. 
Agent: http://www.syslogserver.com/syslogagent.html // http://www.winsyslog.com/en/ 
Obs: Eu recomendo os agent's do syslogserver por que a do winsyslog e trial. :) 

Vamos lá  com seu servidor de log pronto e já configurado para receber os dados suponhamos que seu servidor do loganalyser seja o endereço : 192.168.0.120 , e a estação de trabalho que você esta monitorando seja 192.168.0.130 ok? então temos: 

Servidor log : 192.168.0.120
Cliente com agent: 192.168.0/24 

Na pagina do syslogserver faça download dos agent's de 32 e 64 bits, é importante que você ja deixe os dois baixados para economizar tempo caso você nao saiba qual arquitetura esta a sua maquina Window$ da qual deseja monitorar. 

http://www.syslogserver.com/download.html 
descompacte em c:\ da estação de trabalho windows e veras alguns arquivos como este: 

EXECUTE COMO ADMINISTRADOR o arquivo : SyslogAgentConfig e você vai cair em uma tela como esta: 


192.168.0.120 = Servidor para onde cliente irá mandar os log's filtrados. 
514 = porta do serviço da qual envia logs para o servidor. 
Enable forwarding of event logs: application / 562,565,566,836 = esta configuração iŕa pegar apenas os registros do windows que possuem as numerações 562,565,566,836 que forem emitidas por uma aplicação. 
Application logs: IIS nome do serviço da qual deseja ser monitorado. 
Obs: nos testes que realizei por exemplo em "event logs" você pode colocar somente application ele irá trazer todos os registros.  


Explanação
Esta aplicação é responsavel por coletar os filtros de log e enviar para servidor. 

Como ele funciona? 
você seta em SyslogAgentConfig todos os parâmetros que necessita monitorar e esta aplicação pega as config's que você setou e coloca em SyslogAgent.exe que instala como serviço na estação de trabalho do cliente, por isso é importante executar o SyslogAgentConfig como administrador. 
pode crer? :)  Você terá resultado como este, já com todos os log's sendo enviado para seu servidor loganalyser. 



0 comentários:

Postar um comentário