Remote Log Management
Eventlog Analyzer » Recursos » Remote Log Management » Gerenciamento de logs
Início » Recursos » Gestão de logs » Gestão remota de Logs

Coleta remota de logs no Windows e Linux

Toda empresa precisa coletar e monitorar dados de logs de dispositivos em sua rede para garantir a segurança, solucionar problemas operacionais e conduzir análises forenses sobre incidentes de segurança. Para isso, ela pode contar com uma ferramenta de gerenciamento de logs ou uma solução de SIEM. Independentemente da ferramenta utilizada, coletar logs em um local centralizado é mais difícil do que parece. Da configuração dos dispositivos para enviar dados de logs ao servidor central para garantir a segurança dos logs em trânsito, a coleta de logs é tão importante e difícil quanto qualquer outro processo de gerenciamento de logs.

Predominantemente, há dois métodos para coletar dados de logs: com agente e sem agente. A coleta de logs com agente requer a instalação de um agente em cada máquina que coleta e encaminha os dados de logs do dispositivo para o servidor central. Emprega-se a coleta com agente ao coletar dados de logs de uma rede segura. Em outras circunstâncias, esse método não é o preferido, pois é difícil de administrar. Portanto, as empresas preferem o encaminhamento nativo de logs e, às vezes, a coleta remota de logs.

Quando se trata de dispositivos de rede, máquinas Linux/Unix, os dados do syslog podem ser capturados usando o recurso de encaminhamento de logs disponível na plataforma nativa. Entretanto, para coletar remotamente logs de eventos do Windows, o procedimento é um pouco diferente.

Esta página explica as etapas necessárias para coletar dados do syslog remotamente usando um servidor Syslog.

Como coletar logs remotamente usando o servidor Syslog?

Coletar syslogs remotamente é um processo bastante simples que envolve duas etapas: configurar o servidor remoto que coletará centralmente todos os dados de logs e configurar os dispositivos para enviar dados de logs ao servidor remoto.

Etapa 1: Configurando o servidor remoto

Para configurar um servidor syslog para coletar logs remotamente,

  • Anexe o seguinte ao arquivo /etc/rsyslog.conf, na pasta /var/log do servidor.

    $ModLoad imtcp.so

    $InputTCPServerRun 514

    Aqui, 514 se refere ao número da porta TCP através da qual o servidor syslog recebe os dados de logs.

  • Crie um modelo variável para garantir que os logs coletados de diferentes hosts não sejam misturados. Adicione o seguinte ao arquivo /etc/rsyslog.conf

    $template

    DynamicFile,"/var/log/loghost/%HOSTNAME%/%syslogfacility-text%.log"

    *.* -?DynamicFile

  • Adicione a entrada abaixo ao arquivo de configuração do syslog /var/logrotate.d/ para garantir que novos arquivos de log façam parte a rotação de logs:

    /var/log/loghost/*/*.log

  • Atribua um endereço IP estático ao servidor remoto. Isso ajuda os dispositivos a entrarem em contato e enviarem constantemente os dados de log para o servidor remoto.

  • Certifique-se de que seu firewall permite acesso à porta TCP 514 adicionando as seguintes regras:

    # systemctl restart rsyslog

    # firewall-cmd --add-port=514/udp --permanent

    # firewall-cmd --add-port=514/tcp --permanent

    # firewall-cmd --reload

Etapa 2: Configure os dispositivos de syslog

  • Adicione o seguinte à seção de regras in /var/rsyslog.conf file

    *.* @@:514

    Aqui, se refere ao endereço IP estático do seu servidor Syslog e 514 é o número da porta TCP pela qual os dados de log serão enviados.

Como coletar remotamente logs de eventos do Windows?

Há várias maneiras de acessar e coletar remotamente logs de eventos do Windows.

  • Usando chamadas de API que utilizam EvtOpenSession para estabelecer uma conexão remota e chamar funções de log de eventos.
  • Estabelecendo sessões remotas por meio do WMI e executar tarefas do WMI para coletar logs de eventos.
  • Coletando e acessando logs de eventos por meio da UI do Event Viewer em uma conta do Active Directory com permissões para ler logs de eventos.

Pré-requisitos para coletar remotamente logs de eventos do Windows:

Para acessar e coletar logs de eventos usando a UI do Event Viewer, você precisa de uma conta de serviço do Active Directory com permissões específicas para acessar os logs de eventos do Windows. Essas permissões podem ser concedidas por meio da política de segurança local ou do objeto de política de grupo (GPO) no domínio.

Abaixo estão as etapas de pré-requisito que você precisa seguir para acessar e coletar remotamente logs de eventos do Windows.

Criando contas de serviço e fornecendo as permissões necessárias

  • Crie uma conta de serviço e configure-a no coletor remoto. Outra opção é ter a conta na máquina coletora que tenha acesso adequado para que você possa usar a autenticação integrada do AD para coleta de logs.
  • Adicione a conta aos seguintes grupos de domínio integrados:
    • Leitores de logs de eventos
    • Usuários COM distribuídos
  • Conceda à conta de serviço o privilégio “Gerenciar logs de auditoria e segurança”. Isso pode ser feito criando um GPO ou usando a política de segurança local.
    • Fornecendo privilégios usando a “política de segurança local”
      • Navegue pelo seguinte caminho: Configuração do computador >> Configurações do Windows >> Configurações de segurança >> Políticas locais >> Atribuição de direitos do usuário
      • Em Atribuição de direitos do usuário, navegue até Gerenciar logs de auditoria e segurança e adicione a conta de serviço à lista.
  • Se você deseja coletar logs remotamente por meio do protocolo WMI, conceda a esta conta acesso WMI seguindo as etapas abaixo:
    • Abra “wmimgmt” e clique com o botão direito em -> Propriedades > Segurança -> Avançado.
    • Permita que a conta de serviço possa “Executar métodos”, “Gravação de provedor”, “Habilitar conta”, “Habilitação remota”.
  • Conceda permissões de registro para esta conta.
    • Abra o Regedit -> Máquina local ->
      System\CurrentControlSet\ Services\eventlog\Security -> clique com o botão direito em -> permissões e adicione a conta de serviço.
  • Atribua direitos DCOM e conceda permissões em c:\windows\system32\winevt para a conta de serviço.

A conta de serviço agora pode ler todos os logs de qualquer parte do domínio por meio da UI do Event Viewer. Faltam apenas mais alguns passos.

  1. Habilitando a conectividade: Edite as regras do firewall do Windows na máquina em que a conta de serviço reside
    • Navegue até Regras de entrada e habilite o Gerenciamento remoto de logs de eventos (RPC)
    • Certifique-se de que o protocolo e o perfil sejam especificados respectivamente como “TCP” e “Domínio”
  2. Habilitando o serviço do coletor do Windows: Você precisa habilitar o serviço do coletor no servidor remoto para que ele receba os arquivos de logs. Para fazer isso, efetue login no servidor remoto como administrador local ou de domínio e execute o seguinte comando em cmd.exe.

wecutil qcin

  1. Habilitando computadores de domínio para conexão remota: O WRM (Windows Remote Management), ou Gerenciamento remoto do Windows, é um protocolo usado para troca de informações entre sistemas no domínio. Para coleta remota de logs, você precisa habilitar esse protocolo em cada um dos dispositivos para facilitar a troca de dados de logs. Para habilitar o protocolo WRM, faça login nos computadores de origem como administrador local ou de domínio e execute o comando abaixo.

winrm quick config

  1. Habilitando a assinatura no Windows: As assinaturas definem a relação entre o dispositivo de  origem e o coletor, o servidor remoto. Um coletor pode receber dados de logs de todos os dispositivos na rede ou de um conjunto específico de dispositivos. Para habilitar a assinatura dos computadores do domínio na máquina do coletor remoto de logs, siga as etapas abaixo.
    • Navegue por Event Viewer >> Assinaturas >> Ações >> Criar assinatura.
    • Na caixa de diálogo Propriedades da assinatura,
      • Especifique o nome da assinatura
      • Forneça a descrição
      • Em “Logs de destino”, selecione “Eventos encaminhados”
      • Escolha o Tipo de Assinatura como “Iniciado pelo Coletor” se os logs forem coletados pelo servidor remoto das respectivas fontes. Nesse caso, você precisará de uma conta de serviço com privilégios apropriados para coletar os logs. Consulte a etapa 5 para obter detalhes sobre como criar a conta de serviço e atribuir permissões. Se você escolher “Iniciado pela origem”, o dispositivo de origem usará as técnicas nativas de encaminhamento de logs para encaminhar os logs ao coletor.
      • Clique em “Selecionar computadores” e “Adicionar computadores de domínio” na caixa de diálogo subsequente.
      • Digite o nome dos computadores de origem, clique em "Verificar nomes" e, se encontrado, clique em Ok.
      • Clique em OK para retornar para “Propriedades da assinatura”
    • Clique em Selecionar eventos para abrir o filtro de consulta.
      • No menu suspenso “Registrado”, especifique o intervalo de tempo no qual os logs devem ser coletados
      • Selecione o tipo de logs de eventos, Crítico, Aviso, Detalhado, Informação e Erro, que você deseja coletar
      • No menu suspenso, selecione como você deseja coletar logs da origem, “Por log” ou “Por origem”, dependendo da sua necessidade.
    • Clique no botão "Configurações avançadas de assinatura" para ajustar sua coleção de logs. Aqui, você pode especificar a Conta de usuário que pode ser usada para coletar os dados de log remotamente, os critérios de Otimização de nível de evento, para minimizar a largura de banda, a latência ou escolher o método de coleta de log normal, o protocolo e a porta usados para coleta de logs.

Colete e monitore logs remotos de forma eficaz em sistemas Windows e Linux.

Obtenha seu teste gratuito

A solução EventLog Analyser tem a confiança de

Los Alamos National BankMichigan State University
PanasonicComcast
Oklahoma State UniversityIBM
AccentureBank of America
Infosys
Ernst Young

Opinião dos clientes

  • Credit Union of Denver vem utilizando o EventLog Analyzer por mais de quatro anos para o monitoramento de atividades de usuários internos. O EventLog Analyzer agrega valor na relação custo-benefício como uma ferramenta forense de rede e para due diligence regulatória. Este produto pode rapidamente ser dimensionado para atender às necessidades dos nossos negócios dinâmicos.
    Benjamin Shumaker
    Vice-presidente de TI/ISO
    Credit Union of Denver
  • O que mais gosto na aplicação é a interface de usuário bem estruturada e os relatórios automatizados. É uma imensa ajuda para os técnicos de rede monitorarem todos os dispositivos em um único painel. Os relatórios pré-configurados são uma obra de arte inteligente.
    Joseph Graziano, MCSE CCA VCP
    Engenheiro de Rede Sênior
    Citadel
  • O EventLog Analyzer é uma boa solução de alerta e geração de relatórios de logs de eventos para as nossas necessidades de tecnologia da informação. Ele reduz o tempo gasto na filtragem de logs de eventos e fornece notificações quase em tempo real de alertas definidos administrativamente.
    Joseph E. Veretto
    Especialista em Revisão de Operações
    Agência de Sistemas de Informação
    Florida Department of Transportation
  • Os logs de eventos do Windows e Syslogs dos dispositivos constituem uma sinopse em tempo real do que está acontecendo em um computador ou rede. O EventLog Analyzer é uma ferramenta econômica, funcional e fácil de usar que me permite saber o que está acontecendo na rede ao enviar alertas e relatórios, tanto em tempo real quanto agendados. É uma aplicação premium com um sistema de detecção de intrusão de software.
    Jim Lloyd
    Gerente de Sistemas da Informação
    First Mountain Bank
DepoimentosEstudos de caso

Prêmios e Reconhecimentos

  •  
  • Info Security's 2014 Global Excellence Awards
  • Info Security’s 2013 Global Excellence Awards - Silver Winner
  •  

Um único painel para gerenciamento abrangente de logs

Gerenciamento de LogsConformidade de TIAnalisador de LogsLinks RápidosProdutos associados