Bienvenido(a), Visitante. Por favor, ingresa o regístrate.
¿Perdiste tu email de activación?
Febrero 11, 2012, 03:06:56

Ingresar con nombre de usuario, contraseña y duración de la sesión
Buscar:     Búsqueda Avanzada
Bienvenidos al foro de systemadmin.es!

Registrate al feed para recibir la actividad del foro:
http://foro.systemadmin.es/.xml/?type=rss
424 Mensajes en 119 Temas por 296 Usuarios
Último usuario: KVDay
* Inicio Ayuda Buscar Ingresar Registrarse
+  foro.systemadmin.es
|-+  Linux
| |-+  Monitorización
| | |-+  Análisis de logs de iptables		 « anterior próximo »
Páginas: [1] Imprimir
Autor Tema: Análisis de logs de iptables  (Leído 2500 veces)
gonav
Jr. Member
**

Karma: +0/-0
Desconectado Desconectado

Mensajes: 67


Ver Perfil
« : Noviembre 20, 2009, 03:40:12 »
[A falta de una sección sobre Monitorización, incluyo este hilo en Aplicaciones]

He estado probando varias aplicaciones de análisis de logs procedentes del cortafuegos, y quería aprovechar el foro para compartir mis experiencias, con permiso de jordi, al que felicito por la iniciativa.

Las dos herramientas que he probado han sido fwlogwatch y wflogs. Aunque fwlogwatch es -desde mi punto de vista- más potente y permite respuestas activas, me he decantado por la sencillez de wflogs y porque es suficiente para lo que quiero.

wflogs analiza el fichero que se le pasa como parámetro y realiza un resumen de las conexiones registradas, guardando el informe en un nuevo fichero o enviando un correo al administrador.

Una vez instalado, tenemos los siguientes ficheros (ubicación Debian):

/etc/default/wflogs  -> configuración (autoexplicativa)

/etc/cron.daily/wflogs_report -> ejecuta script que vuelva el informe en fichero
/etc/cron.daily/wflogs_email -> ejecuta script que envía el informe vía email

/var/log/wflogs/ -> directorio de informes, estructurados por meses
/2009/11/ wflogs_2009-11-11.human  wflogs_2009-11-12.human  wflogs_2009-11-13.human

La sintaxis básica de ejecución es la siguiente:

Código:
wflogs -i <formato_in> -o <formato_out> iptables.log > file.report

donde el formato de entrada es el del fichero de log que analizamos, que puede ser:
netfilter, ipchains, ipfilter, cisco_pix, cisco_ios y snort

y el formato de salida del fichero donde genera el informe puede ser:
text, html, xml, human, netfilter, ipchains, e ipfilter

Mención especial para el formato html para consulta vía web, y también para el formato xml. El formato human es un poco más "sociable" en la forma de mostrar los datos.

De esta forma, diariamente wflogs realiza un informe resumen de las conexiones (a fichero o vía email), con la estructura siguiente:

Código:
12 Nov 19 23:04:50 Nov 19 23:15:23 00:00:10:33 server [NoAuth Input] kernel:   eth0 mac xx:xx:xx:xx:xx:xx  - mac ff:ff:ff:ff:ff:ff () udp from 192.168.2.100 (-) port 68 (bootpc) to 255.255.255.255 (-) port 67 (bootps)

8 Nov 19 22:32:03 Nov 19 22:54:03 00:00:22:00 serverfiles server [NoAuth Input] kernel:   eth0 mac xx:xx:xx:xx:xx:xx - mac xx:xx:xx:xx:xx:xx () icmp type 8 (echo-request) from 192.168.2.100 (-) to 192.168.2.2 (-)

Existen muchas más opciones, disponibles como siempre en el man de wflogs.

Como último comentario para terminar, particularmente me ha dado problemas (formato netfilter no reconocido) usando ULOG en vez de la regla LOG integrada en iptables, que he tenido que solucionar con la opción --ulog-prefix anadiendo a mano la palabra kernel.

Código:
iptables -A INPUT -j ULOG --ulog-prefix "[NoAuth Input] kernel: "

¿Alguien más ha tenido este problema?
En línea
jordi
Administrator
Full Member
*****

Karma: +0/-0
Desconectado Desconectado

Mensajes: 132



Ver Perfil WWW
« Respuesta #1 : Noviembre 20, 2009, 08:12:38 »
Muy interesante gonav! Especialmente que, además de netfilter, soporte firewalls CISCO y el Snort, voy a tener que provarlo  Sonrisa

saludos!
En línea
hnoguera
Newbie
*

Karma: +0/-0
Desconectado Desconectado

Mensajes: 2


Ver Perfil
« Respuesta #2 : Febrero 02, 2010, 06:33:05 »
Hola a todos, soy nuevo por aqui, bueno algo nuevo tambien en el mundo libre y viejo trasteador...

Buscando una aplicacion para analisis de logs para Snort (concretamente para un testeo que estoy haciendo con Vyatta), he instalado wflogs...
bueno, la pregunta era otra pero mientras escribo me surgen ideas y voy trasteando.

Ahora me gustaria tener un email con los logs, pero no diario! semanal estaria bien, que hago, muevo los wflogs_report y _email de /etc/cron.daily a cron.weekly y ya está o deberia modificar algo en el scrit?

Saludos!
En línea
gonav
Jr. Member
**

Karma: +0/-0
Desconectado Desconectado

Mensajes: 67


Ver Perfil
« Respuesta #3 : Febrero 28, 2010, 12:41:35 »
Cita de: hnoguera en Febrero 02, 2010, 06:33:05
Ahora me gustaria tener un email con los logs, pero no diario! semanal estaria bien, que hago, muevo los wflogs_report y _email de /etc/cron.daily a cron.weekly y ya está o deberia modificar algo en el scrit?

Hola hnoguera,

Los scripts wflogs_report y _email están escritos para el día anterior. Aparte de moverlos a cron.weekly, deberías editarlos y modificar los parámetros de date para que considere la semana anterior.

FILTER="\$start_time >= [yesterday]"
eval "$WFLOGS -f '$FILTER' $OPTIONS -- $INPUT_FILE | mail $EMAIL_ADDRESS -s 'Wflogs report since `date +"%D" -d "yesterday"`'"

La verdad es que no sé si con "last week" funcionaría o habría que reescribir el script.
En línea
hnoguera
Newbie
*

Karma: +0/-0
Desconectado Desconectado

Mensajes: 2


Ver Perfil
« Respuesta #4 : Mayo 31, 2010, 09:04:10 »
Gracias gonav, acabo de ver tu respuesta  Cheesy

Otra solución para analizar los logs de mis vyattas es con OSSIM, es lo que ando trasteando ahora.
En línea
Páginas: [1] Imprimir 
« anterior próximo »
Ir a:  

Powered by SMF | SMF © 2006-2009, Simple Machines LLC