El 13 de mayo de 2016 22:01:49 CEST, Ramses <ramses.sevi...@gmail.com> escribió: >El 13 de mayo de 2016 21:33:54 CEST, "Edward Villarroel (EDD)" ><edward.villarr...@gmail.com> escribió: >>Edward Villarroel: @Agentedd >> >> >>---------- Mensaje reenviado ---------- >>De: Edward Villarroel (EDD) <edward.villarr...@gmail.com> >>Fecha: 13 de mayo de 2016, 15:33 >>Asunto: Re: [OT] Gestión de Logs >>Para: Ramses <ramses.sevi...@gmail.com> >> >> >>no tengo nada si es por syslog se crea un servidor de syslog... pero >>eso en >>cuanto a la recolección de los logs y ahora las alertas tempranas? >> >>Edward Villarroel: @Agentedd >> >> >>El 13 de mayo de 2016, 10:50, Ramses <ramses.sevi...@gmail.com> >>escribió: >> >>> El 13 de mayo de 2016 16:21:21 CEST, "Edward Villarroel (EDD)" < >>> edward.villarr...@gmail.com> escribió: >>> >Buenos días comunidad >>> > >>> >Les escribo en esta oportunidad por que tengo un grave problema >>tengo >>> >una >>> >red de aproximado 100 servidores y no tengo nigun manejador de logs >>que >>> >me >>> >ayuden con las alertas tempranas de usuario privilegiados.. >>> > >>> > >>> >Favor si me pueden apoyar con un programa para gestionar los logs >de >>> >los >>> >servidores y genere alertar tempranas por correo por ejemplo cuando >>un >>> >usuario ejecute "sudo su root" o inicie sección y claro esta >tengo >>> >(linux, solaris y aix) >>> > >>> > >>> >pero básicamente me estan pidiendo que cuando un usuario >>privilegiado >>> >inicie sección me envié una alerta por correo >>> >es estado revisando soluciones como SYSLOG-NG pero no se ando >>buscando >>> >una solución no muy invasiva y recuerden que son servidores de >>> >producción >>> > >>> >sin mas nada que decir me despido y espero compartan su >>experiencia... >>> >quedando atento a sus comentarios >>> > >>> >Edward Villarroel: @Agentedd >>> >>> fail2ban es tu amigo. >>> >>> >>> Saludos, >>> >>> Ramses >>> >>> > >Cuando inicias una sesión por ssh, te reporta ese acceso en un fichero >de log, no estoy seguro ahora si es "/var/log/auth.log". > >Bien, el fail2ban te chequea apariciones de patrones, definidos en sus >ficheros, dentro del fichero que tú le marques. Pues tendrías que coger >uno de los ficheros que trae definidos con sus patrones y adaptarlo al >patrón que tú buscas. > > >Saludos, > >Ramses >
Perdona, además de detectarlo, te manda un correito u otras acciones... Saludos, Ramses