construindo um SIEM, devo enviar logs ou obtê-los da máquina de coleta?

1

Estou trabalhando em um ambiente Linux, gostaria de reunir todos os logs do pool de máquinas em uma única máquina X. Existem vários arquivos de log que eu preciso mover e não tenho certeza sobre como devo fazê-lo .

Devo fazer as máquinas enviarem os logs de tempos em tempos para o monitoramento específico, eu configuraria um cron em cada máquina, que cria uma cópia dos logs e os envia por scp.

Ou devo configurar a máquina de monitoramento para ir e obter arquivos de logs, isso implicaria que eu criei um usuário específico "logger" em cada máquina à qual X se conectaria com scp (logger teria direitos de leitura nos logs que eu preciso ).

Eu não sei quantas máquinas eu vou ter no meu pool, então ele pode ir de 1 a 99999 máquinas. O caminho dos arquivos de registro pode diferir de uma máquina para outra. A segurança é importante no meu caso, não quero que outra pessoa possa interceptar ou ler os logs.

Eu gostaria que o processo fosse o mais simples possível e não usasse biblioteca nem outro software, se possível.

    
por user3779430 23.04.2015 / 12:44

2 respostas

1

OSSEC faz o que você quer, e provavelmente irá salvá-lo de reinventar a roda em grande parte.

Se você realmente não quiser usar software adicional, tenha pelo menos uma aparência em seu modelo, como eles autenticam seus clientes e onde e por que eles confiam na saída de logs processados.

    
por 23.04.2015 / 16:31
0

Se você criar um aplicativo desse tipo, ofereça as duas formas para seus usuários.

Se um servidor tiver que enviar os arquivos de log ativamente, o usuário precisará instalar algum tipo de agente em seu servidor monitorado. Isso pode ser desencorajado em alguns ambientes.

Se você puxar os arquivos de log, nenhuma instalação adicional será necessária nos servidores, exceto permitir que eles acessem os arquivos de log.

Portanto, ofereça aos seus clientes e deixe que eles decidam.

    
por 23.04.2015 / 13:18