Merkezi loglama

Jan 27th, 2008
Leave a comment | Trackback

Log’ları merkezi bir sunucuya göndermek için syslog veya syslog-ng kullanılabilir. Bu durumda merkezi sunucuda da gelen logları bekleyecek bir yazılımın çalışması gerekmektedir.

Syslog-ng, ek özellikleri ve Stunnel [4] ile log’ları şifreli gönderebilmesi yeteneklerinden dolayı tercih edilmelidir.

Sistem yöneticileri Ranum’un bu konudaki ayrıntılı belgesini [1] mutlaka incelemelidir. Gelişmiş log analizi için [2], [5], [6] nolu referans incelenmelidir. Syslog Hakkında ek bilgi ve referanslar için [3]‘i inceleyiniz.

Log analizi için Sawmill gibi çeşitli ticari yazılımlar bulunmaktadır. Bu yazılımların bazılarının kısıtlı versiyonlarını açık kaynak kodlu olarak temin etmek mümkündür.

Swatch ile logları takip etmek hakkında bkz http://blog.csirt.ulakbim.gov.tr/?p=67

Referanslar:

[1] Ranum M., System Logging and Log Analysis, http://www.ranum.com/security/computer_security/archives/logging-notes.pdf

[2] Chuvakin A., Advanced Log Processing
http://www.securityfocus.com/infocus/1613

[3] Syslog Faqhttp://www.campin.net/syslog-ng/faq.html

[4] Stunnel, http://www.stunnel.org/

[5] http://www.loganalysis.org/

[6] Bird T., The Top 10 Log Entries that show You’ve Been Hacked, http://www.loganalysis.org/presentations/syslog_sans_webcast.pdf

Tags:
  1. Murat SOYSAL
    Jan 28th, 2008 at 15:04
    Reply | Quote | #1

    Referanslara kendi belgemizi de eklemekte fayda….
    http://csirt.ulakbim.gov.tr/dokumanlar/freebsdopguvenlik.pdf