Recopilación remota de logs en Windows y Linux

Todas las empresas necesitan recopilar y monitorear los datos de logs de los dispositivos de su red para garantizar la seguridad, solucionar problemas operativos y realizar análisis forenses sobre incidentes de seguridad. Para ello pueden recurrir a una herramienta de gestión de logs o a una solución SIEM. Independientemente de la herramienta utilizada, recopilar logs en una ubicación centralizada es más difícil de lo que parece. Desde configurar los dispositivos para que envíen los datos de los logs al servidor central hasta garantizar la seguridad de los logs en tránsito, la recopilación de logs es tan importante y difícil como cualquier otro proceso de gestión de logs.

Predominantemente, existen dos métodos para recopilar datos de logs: basado en agentes y sin agentes. La recopilación de logs basada en agentes requiere la instalación de un agente en cada equipo que recopile y reenvíe los datos de logs del dispositivo al servidor central. Cuando se recopilan datos de logs de una red segura, se emplea la recopilación de logs basada en agentes. En otras circunstancias, no se prefiere este método por ser difícil de administrar. Por ello, las empresas prefieren el reenvío nativo de logs y, en ocasiones, la recopilación remota de logs.

Cuando se trata de dispositivos de red, equipos Linux/Unix, los datos syslog pueden recopilarse utilizando la función de reenvío de logs disponible en la plataforma nativa. Sin embargo, para recopilar de forma remota los logs de eventos de Windows, el procedimiento es ligeramente diferente.

En esta página se explican los pasos necesarios para recopilar datos syslog de forma remota utilizando un servidor Syslog.

¿Cómo recopilar logs de forma remota utilizando un servidor Syslog?

Recopilar syslogs de forma remota es un proceso bastante sencillo que implica dos pasos: configurar el servidor remoto que recopilará de forma centralizada todos los datos de logs y configurar los dispositivos para que envíen datos de logs al servidor remoto.

Paso 1: Configure el servidor remoto

Para configurar un servidor syslog para recopilar logs de forma remota:

• Añada lo siguiente al archivo /etc/rsyslog.conf, en la carpeta /var/log del servidor.

  $ModLoad imtcp.so

  $InputTCPServerRun 514

  Aquí 514 se refiere al número de puerto TCP a través del cual el servidor syslog recibe los datos de log.

• Cree una plantilla variable para garantizar que los logs recopilados de diferentes hosts no se mezclen. Añada lo siguiente al archivo: /etc/rsyslog.conf:

  $template

  DynamicFile,"/var/log/loghost/%HOSTNAME%/%syslogfacility-text%.log"

  *.* -?DynamicFile

• Añada la siguiente entrada al archivo de configuración /var/logrotate.d/ syslog para garantizar que los nuevos archivos de log formen parte de la rotación de logs:

  /var/log/loghost/*/*.log

• Asigne una dirección IP estática al servidor remoto. Esto ayuda a los dispositivos a ponerse en contacto y enviar constantemente los datos de log al servidor remoto.
• Asegúrese de que su firewall permita el acceso al puerto TCP 514 añadiendo las siguientes reglas:

  # systemctl restart rsyslog

  # firewall-cmd --add-port=514/udp --permanent

  # firewall-cmd --add-port=514/tcp --permanent

  # firewall-cmd --reload

Paso 2: Configure los dispositivos syslog

• Añada lo siguiente a la sección de reglas del archivo /var/rsyslog.conffile

  *.* @@<IP address of the log server>:514

  Aquí, se refiere a la dirección IP estática de su servidor Syslog y 514 es el número de puerto TCP a través del cual se enviarán los datos del log.

¿Cómo recopilar remotamente los logs de eventos de Windows?

Existen múltiples formas de acceder remotamente y recopilar los logs de eventos de Windows.

• Uso de llamadas a la API que utilizan EvtOpenSession para establecer una conexión remota y llamar a funciones de log de eventos.
• Establecimiento de sesiones remotas a través de WMI y ejecución de tareas WMI para la recopilación de logs de eventos.
• Recopilación y acceso a los logs de eventos a través de la interfaz de usuario del Visor de Eventos en una cuenta de Active Directory con permisos para leer logs de eventos.

Requisitos previos para recopilar remotamente el log de eventos de Windows:

Para acceder a los logs de eventos y recopilarlos mediante la interfaz de usuario del Visor de eventos necesita una cuenta de servicio de Active Directory con permisos específicos para acceder a los logs de eventos de Windows. Estos permisos pueden concederse a través de la directiva de seguridad local o del objeto de directiva de grupo (GPO) en el dominio.

A continuación se indican los pasos previos que debe seguir para acceder de forma remota y recopilar los logs de eventos de Windows.

Crear cuentas de servicio y proporcionar los permisos necesarios

• Cree una cuenta de servicio y configúrela en el recopilador remoto. Otra opción es disponer de la cuenta en el equipo recopilador que tenga el acceso adecuado para poder utilizar la autenticación AD integrada para la recopilación de logs.
• Añada la cuenta a los siguientes grupos de dominio integrados:
  • Lectores de log de eventos
  • Usuarios COM distribuidos
• Otorgue a la cuenta de servicio el privilegio "Gestionar logs de auditoría y seguridad". Esto puede hacerse creando una GPO o utilizando la política de seguridad local.
  • Proporcionar privilegios utilizando la "política de seguridad local".
    • Navegue por lo siguiente: Configuración del equipo >> Ajustes de Windows >> Ajustes de seguridad >> Políticas locales >> Asignación de derechos de usuario
    • En Asignación de derechos de usuario, vaya a Gestionar logs de auditoría y seguridad y añada la cuenta de servicio a la lista.
• Si desea recopilar logs de forma remota a través del protocolo WMI, dé a esta cuenta acceso WMI siguiendo los pasos que se indican a continuación:
  • Abra 'wmimgmt' y haga clic con el botón derecho -> Propiedades > Seguridad -> Avanzado.
  • Permita a la cuenta de servicio "Ejecutar métodos", "Escritura del proveedor", "Habilitar cuenta", "Habilitación remota".
• Otorgue permisos de registro para esta cuenta.
  • Abra Regedit -> Local machine ->
    System\CurrentControlSet\ Services\eventlog\Security -> haga clic con el botón derecho -> permisos y añada la cuenta de servicio.
• Asigne derechos DCOM y conceda permisos en c:\windows\system32\winevt para la cuenta de servicio.

La cuenta de servicio es ahora capaz de leer todos los logs de cualquier parte del dominio a través de la interfaz de usuario del Visor de Eventos. Ahora solo faltan unos pocos pasos.

1. 1. Habilite la conectividad: edite las reglas del firewall de Windows en el equipo en el que reside la cuenta de servicio.
   • Navegue hasta Reglas de entrada y active Gestión remota de logs de eventos (RPC)
   • Asegúrese de que el protocolo y el perfil se especifican como "TCP" y "Dominio" respectivamente.
2. Habilite el servicio de recopilador de Windows:  debe habilitar el servicio de recopilación en el servidor remoto para que este reciba los archivos de log. Para ello, inicie sesión en el servidor remoto como administrador local o de dominio y ejecute el siguiente comando en cmd.exe.

wecutil qcin

3. Habilite los equipos del dominio para la conexión remota:  la gestión remota de Windows (WRM) es un protocolo que se utiliza para intercambiar información entre los sistemas del dominio. Para la recopilación remota de logs, debe activar este protocolo en cada uno de los dispositivos para facilitar el intercambio de datos de logs. Para activar el protocolo WRM, inicie sesión en los equipos de origen como administrador local o de dominio y ejecute el siguiente comando.

winrm quick config

4. Habilite la suscripción en Windows:  Las suscripciones definen la relación entre el dispositivo de origen y el recopilador, el servidor remoto. Un recopilador puede recibir datos de log de todos los dispositivos de la red o de un conjunto específico de dispositivos. Para habilitar la suscripción de los equipos del dominio en el equipo remoto del recopilador de logs, siga los pasos que se indican a continuación.
   • Navegue por el Visor de Eventos >> Suscripciones >> Acciones >> Crear suscripción.
   • En el cuadro de diálogo Propiedades de suscripción,
     • Especifique el nombre para la suscripción
     • Proporcione la descripción
     • En "Logs de destino" seleccione "Eventos reenviados"
     • Elija el Tipo de suscripción como 'Recopilador iniciado' si los logs son recopilados por el servidor remoto desde las fuentes respectivas. En este caso, necesita una cuenta de servicio con los privilegios adecuados para recopilar los logs. Consulte el paso cinco para más detalles sobre la creación de la cuenta de servicio y la asignación de permisos. Si elige 'Origen iniciado', el dispositivo de origen utilizará las técnicas nativas de reenvío de logs para reenviar los logs al recopilador.
     • Haga clic en "Seleccionar equipos" y "Añadir equipos de dominio" en el cuadro de diálogo posterior.
     • Escriba el nombre de los equipos de origen, haga clic en "Comprobar nombres" y, si los encuentra, haga clic en Ok.
     • Haga clic en OK para volver a "Propiedades de Suscripción".
   • Haga clic en Seleccionar eventos para abrir el filtro de consulta.
     • En el desplegable "Registro", especifique el intervalo de tiempo en el que deben recopilarse los logs
     • Seleccione el tipo de logs de eventos: Crítico, Advertencia, Detallado, Información y Error, que desea recopilar
     • En el menú desplegable, seleccione cómo desea recopilar los logs desde la fuente: 'Por log' o 'Por fuente', en función de sus necesidades.
   • Haga clic en el botón "Ajustes avanzados de suscripción" para afinar la recopilación de logs. Aquí puede especificar la cuenta de usuario que puede utilizarse para recopilar los datos de log de forma remota, los criterios de optimización del nivel de eventos, para minimizar el ancho de banda, la latencia o elegir el método normal de recopilación de logs, el protocolo y el puerto utilizados para la recopilación de logs.