HARDWARE Y SISTEMAS OPERATIVOS, GNU/Linux, Windows, Mac > GNU/Linux, Unix, *BSD and Free Software, Android
Servicio syslog puerto 514. (SOLUCIONADO)
Alfon:
hola a todos,
Estoy tratando en enviar eventos de evenlog windows a un sistema UNIX/Linux. La aprte windows está OK, peor cuando trata de conectar con el servicio de windows, dice que no está respondiendo dicho servicio. Efectivamnete, un nmpa diceque el puerto 514 no está.
Entiendo que el servicio en un Ubunto 10.10 es cosa de rsyslog que está "running". En qué me estoy equivocabndo, o es que rsyslog no es para eso y no escucha en el puerto 514 ¿?¿.
saludos,
Liamngls:
Supongo que te refieres al envío en red ¿qué usas, Samba? ¿está bien configurado, tal vez el firewall?
Alfon:
Si Liamngls, se trata de enviar a través de una red local. Entiendoque si rsyslog abre un servicio/puerto, na hace falta nada de samba.
El caso es que cuando configuro rsyslog desde /etc/rsyslog.conf para dejarlo así:
$ModLoad imudp
$UDPServerRun 514
pues no me abre el puerto 514
sin embargo si lo hago para tcp:
$ModLoad imtcp
$TCPServerRun 514
si lo hace y habre el puerto.
También me pasa que cuado configuro /etc/default/rsyslog de cualquier forma:
#RSYSLOGD_OPTIONS="-c4"
o
RSYSLOGD_OPTIONS="-r"
etc, pues no lo toma en cuenta
Cuando hago ps -AF | grep syslog:
00:00:00 rsyslogd -c4
siempre el c4 aunque lo desactive y -r ni aparece.
Sobre el firewall.
No tengo en el host linux iptables activado.
Via libre en la red local
Tengo otros servicios y puertos activados en linux y windows interactuando sin problemas.el porblemas.
Por otra parte el programita que envia los eventos de windows al linux solo usa UDP nada de TCP.
Asi que la unica forma es que pueda tenr abierto UDP 514 en el linux.
Netstat.
--- Código: ---Conexiones activas de Internet (solo servidores)
Proto Recib Enviad Dirección local Dirección remota Estado PID/Program name
udp 0 0 0.0.0.0:514 0.0.0.0:* 1948/rsyslogd
udp 0 0 0.0.0.0:46675 0.0.0.0:* 727/avahi-daemon: r
udp 0 0 0.0.0.0:5353 0.0.0.0:* 727/avahi-daemon: r
udp6 0 0 :::514 :::* 1948/rsyslogd
udp6 0 0 :::5353 :::* 727/avahi-daemon: r
udp6 0 0 :::42315 :::* 727/avahi-daemon: r
--- Fin del código ---
En nmap localhost.
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
631/tcp open ipp
3306/tcp open mysql
Aqui no aparece 514.
Saludossss,
Alfon:
Bueno, después de la parrafada anterior... resulta que si funciona. ;-)
Me explico.
El host linux on el servicio rsyslog está funcionando bien. Lo he comprobado poniendo a Snort en modo syslo y enviando las alertas al hostlinux:514. Y efectivamente en windows me detecta wirehsark que se envían los losgs de alertas al linux y en linux con tcpdump veoque se reciben las alertas. dicho lo cual perece que si funciona.
El problema está en la utilidad evtsys.exe que es la que no me envía nada. De hecho., y pensé que era error de linux, está utilidad me dá el error:
Apr 8 14:21:20 MAQUINAWINDOWS Cannot start service dispatcher: El proceso del servicio no puede conectar con el controlador del servicio.
El sistema si está instalado con la opción -i
En fin sigo a ver si averiguo algo más.
saludos,
taranis:
Wnas,
no seé si tiene algo que ver con el tema que expicas pero encontré esto que al igual te sirve:
OSSEC es un sistema de detección de intrusos muy potente, facil de usar, gratuito y licenciado bajo la GPL v2.
Posee capacidades avanzadas como la respuesta ante eventos, aunque configurarla correctamente requiere una dedicación mayor. Unido al poco consumo de recursos y a que es un programa soportado por el 95% de las plataformas más comunes lo convierten en una referencia en el campo de los HIDS y en una imprescindible herramienta que todos los interesados en proteger nuestros sistemas deberíamos utilizar.
fuente: http://www.espaciolinux.com/2007/09/ossec-la-referencia-de-los-hids/
Saludos.
Navegación
[#] Página Siguiente
Ir a la versión completa