Buenas a todos hace solo unos días la OSRI me hizo una visita y me encontró una deficiencia en mis servidores con respecto a los log del sistema, bueno hoy les dejo como deben hacer para tener todo en orden con respecto a la rotación de los log del mismo.Bueno la deficiencia que me encontraron fue la siguiente:
- No se analizan ni se conservan por al menos un año, los registros generados por el sistema operativo de los servidores, lo que impide detectar indicios de eventos anómalos de seguridad que hayan ocurrido anteriormente. Se incumplen los artículos 58 y 62 del Reglamento de Seguridad para las Tecnologías de la Información.
Solución:
Editamos el archivo /etc/logrotate.conf y debería quedar como esta abajo
nano /etc/logrotate.conf
monthly
rotate 12
create
compress
include /etc/logrotate.d
/var/log/wtmp {
missingok
monthly
create 0664 root utmp
rotate 12
}
/var/log/btmp {
missingok
monthly
create 0660 root utmp
rotate 12
}una vez ya puesta esta configuración entonces editamos el /etc/logrotate.d/rsyslog
nano /etc/logrotate.d/rsyslog
/var/log/syslog
{
rotate 12
monthly
missingok
notifempty
delaycompress
compress
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}
/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/mail.log
/var/log/daemon.log
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
/var/log/lpr.log
/var/log/cron.log
/var/log/debug
/var/log/messages
{
rotate 12
monthly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}Ya con lo antes visto los log de toda la actividad del sistema se guardarían por 12 meses y ya estaríamos cumpliendo con una parte de las políticas de seguridad que orienta la OSRI
saludos
soy nuevo en esto de la administracion de red y tengo mis dudas es sobre las famosas trazas yo tengo diferentes sevidores uno para el correo y otro para el proxy en diferentes maquinas como podria configurar los logs para que pueda almacenarlos por mas tiempo (eso de la rotacion), en que direccion se ubican y quiero analizarlos con sawmill he leido que es bueno, como instalar y configurarlo. si tienes algo de administracion de redes o servidores (mis servidores estan en debian) podrias mandarlo por via correo te lo agradeceria.
gracias de antemano
Me fue muy útil la referencia sobre los log, agradeciendo la explicación, con gusto sabré utilizarlo.
Agradecido,
Guillermo
Hola.. cual es el Reglamento de Seguridad para las Tecnologías de la Información.
Gracias!!
ven aca y si tengo eso bien y me llaman la atencion por los logs de los server en win2, pues en winserver nunca he encontrado los logs del sistema??
Sin más aldrock
en Windows los logs de los eventos del sistemas ahi que decirlos que los archives no que los borres y ya