[rosedu-admins] remote logging

Bogdan Sass bogdan at sass.ro
Sun Jul 10 22:31:37 EEST 2011 

On 10/07/2011 21:50, Razvan Deaconescu wrote:
> On 07/10/2011 09:45 PM, Mircea Bardac wrote:
>> Salut tuturor,
>>
>> Bogdan Sass ne-a pus la dispoziție o mașină dedicată pentru syslog
>> logging pentru a putea face mai ușor analiza posibilelor atacuri
>> viitoare.
>>
>> Am configurat (r)syslog-ul de pe următoarele sisteme să trimită toate
>> mesajele de logging și către această mașină (logger.cs.pub.ro -
>> 141.85.226.78):
> Salut, Mircea!
>
> Documentează, te rog, pe wiki[1] ca să facem configurările necesare și
> pe alte servere.
>
> [1] http://koala.cs.pub.ro/admin/
>
> Răzvan
     [ Din nou, rog fwd catre lista in cazul in care este configurata sa 
nu primeasca mesaje de la non-membri ]

     Dupa cum spuneam, va rog sa imi dati un mail cu IP-ul si FQDN-ul 
fiecarei masini care va loga pe sistem.

     In plus, am rugamintea sa va asigurati ca mesajele sunt corect 
tagate (de syslog-ul masinii respective) cu hostname-ul si facility-ul. 
Pentru ca din toate masinile, doar titan apare corect - restul sunt 
logate dupa IP. Mai grav este faptul ca primesc mesaje pentru care 
"hostname-ul" este "last", "exiting" sau "syslogd" (care presupun ca 
sunt de fapt tag-uri?) - lucru care imi varzuieste complet parsarea 
mesajelor.

     Este posibil ca (o parte din) problemele respective sa fie cauzate 
de lipsa inregistrarilor reverse in DNS. Il rog pe Radu (in Cc) sa 
verifice/corecteze PTR-urile pentru:

* mamba.cs.pub.ro
* swarm.cs.pub.ro
* elf.cs.pub.ro
* koala.cs.pub.ro
* rosedu.org
* titan.cs.pub.ro


      In rest, rog administratorii sistemelor sa verifice faptul ca 
mesajele care pleaca sunt tagate in mod corect cu hostname-ul la 
plecarea de pe masina (pentru detalii, 
http://www.rsyslog.com/doc/syslog_parsing.html ).

-- 
Bogdan Sass
CCAI,CCSP,LPIC-1,CCIE #22221 (RS)
Information Systems Security Professional
"Curiosity was framed - ignorance killed the cat"


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 6107 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.rosedu.org/pipermail/rosedu-admins/attachments/20110710/87e12932/attachment.bin>

More information about the rosedu-admins mailing list