
Hello Modafokers!
- Dando continuidade ao post anterior sobre auditoria de compartilhamentos, iremos explanar neste post algumas configurações para comunicação do seu cliente Windows com o servidor loganalyser, para isso iremos imaginar o seguinte ambiente.
SRV-LOG: Servidor Rsyslog+loganalyser.
Clientes: Estações de trabalho Window$.
Agent: http://www.syslogserver.com/syslogagent.html // http://www.winsyslog.com/en/
Obs: Eu recomendo os agent's do syslogserver por que a do winsyslog e trial. :)
Vamos lá com seu servidor de log pronto e já configurado para receber os dados suponhamos que seu servidor do loganalyser seja o endereço : 192.168.0.120 , e a estação de trabalho que você esta monitorando seja 192.168.0.130 ok? então temos:
Servidor log : 192.168.0.120
Cliente com agent: 192.168.0/24
Na pagina do syslogserver faça download dos agent's de 32 e 64 bits, é importante que você ja deixe os dois baixados para economizar tempo caso você nao saiba qual arquitetura esta a sua maquina Window$ da qual deseja monitorar.
http://www.syslogserver.com/download.html
descompacte em c:\ da estação de trabalho windows e veras alguns arquivos como este:
EXECUTE COMO ADMINISTRADOR o arquivo : SyslogAgentConfig e você vai cair em uma tela como esta:
192.168.0.120 = Servidor para onde cliente irá mandar os log's filtrados.
514 = porta do serviço da qual envia logs para o servidor.
Enable forwarding of event logs: application / 562,565,566,836 = esta configuração iŕa pegar apenas os registros do windows que possuem as numerações 562,565,566,836 que forem emitidas por uma aplicação.
Application logs: IIS nome do serviço da qual deseja ser monitorado.
Obs: nos testes que realizei por exemplo em "event logs" você pode colocar somente application ele irá trazer todos os registros.
Explanação:
Esta aplicação é responsavel por coletar os filtros de log e enviar para servidor.
Como ele funciona?
você seta em SyslogAgentConfig todos os parâmetros que necessita monitorar e esta aplicação pega as config's que você setou e coloca em SyslogAgent.exe que instala como serviço na estação de trabalho do cliente, por isso é importante executar o SyslogAgentConfig como administrador.
pode crer? :) Você terá resultado como este, já com todos os log's sendo enviado para seu servidor loganalyser.
0 comentários:
Postar um comentário