Centralizador de log's com loganalyser


Hello Modafokers! 

- Dando continuidade ao post anterior sobre auditoria de compartilhamentos, iremos explanar neste post algumas configurações para comunicação do seu cliente Windows com o servidor loganalyser, para isso iremos imaginar o seguinte ambiente. 

SRV-LOG: Servidor Rsyslog+loganalyser. 
Clientes: Estações de trabalho Window$. 
Agent: http://www.syslogserver.com/syslogagent.html // http://www.winsyslog.com/en/ 
Obs: Eu recomendo os agent's do syslogserver por que a do winsyslog e trial. :) 

Vamos lá  com seu servidor de log pronto e já configurado para receber os dados suponhamos que seu servidor do loganalyser seja o endereço : 192.168.0.120 , e a estação de trabalho que você esta monitorando seja 192.168.0.130 ok? então temos: 

Servidor log : 192.168.0.120
Cliente com agent: 192.168.0/24 

Na pagina do syslogserver faça download dos agent's de 32 e 64 bits, é importante que você ja deixe os dois baixados para economizar tempo caso você nao saiba qual arquitetura esta a sua maquina Window$ da qual deseja monitorar. 

http://www.syslogserver.com/download.html 
descompacte em c:\ da estação de trabalho windows e veras alguns arquivos como este: 

EXECUTE COMO ADMINISTRADOR o arquivo : SyslogAgentConfig e você vai cair em uma tela como esta: 


192.168.0.120 = Servidor para onde cliente irá mandar os log's filtrados. 
514 = porta do serviço da qual envia logs para o servidor. 
Enable forwarding of event logs: application / 562,565,566,836 = esta configuração iŕa pegar apenas os registros do windows que possuem as numerações 562,565,566,836 que forem emitidas por uma aplicação. 
Application logs: IIS nome do serviço da qual deseja ser monitorado. 
Obs: nos testes que realizei por exemplo em "event logs" você pode colocar somente application ele irá trazer todos os registros.  


Explanação
Esta aplicação é responsavel por coletar os filtros de log e enviar para servidor. 

Como ele funciona? 
você seta em SyslogAgentConfig todos os parâmetros que necessita monitorar e esta aplicação pega as config's que você setou e coloca em SyslogAgent.exe que instala como serviço na estação de trabalho do cliente, por isso é importante executar o SyslogAgentConfig como administrador. 
pode crer? :)  Você terá resultado como este, já com todos os log's sendo enviado para seu servidor loganalyser. 



Centralizador de log's com loganalyser Centralizador de log's com loganalyser Reviewed by Kembolle Amilkar on terça-feira, janeiro 26, 2016 Rating: 5

Nenhum comentário