Programas para Análisis SYSLOG

Los programas colectores y analizadores de Syslog son de gran utilidad para recabar información acerca de dispositivos de red como Firewalls (cortafuegos), switches, routers, modems, servidores, hosts de una red …

 
En esta entrada haremos un resumen de lo que es Syslog, y de algunos programas que sirven para recoger dichos mensajes.

Ejemplo del contenido de un Syslog:

ejemplo-syslog

¿Qué es un Syslog?

 
Syslog es un estándar para el envío de mensajes de diagnóstico y registro de actividad en una red. Este tipo de mensajes de diagnóstico suelen incluir información sobre ciertos aspectos de seguridad, al igual que la fecha y hora del evento registrado. Se conoce como Syslog tanto al estándar, como a los programas que recogen dichos mensajes de diagnóstico.
 
Los Syslog son fundamentales en una red que necesite monitorizar su seguridad (sobre todo en redes grandes, y en redes de empresas). Igualmente los Syslog son importantes y necesarios para posibles auditorias de seguridad.
 

Ejemplo del contenido de un Syslog (aunque los detalles que se muestran dependerán del dispositivo en cuestión que arroje estos mensajes Syslog):

1
2
3
4
5
6
Mar 29 2004 09:54:18: %PIX-6-302005: Built UDP connection for faddr 198.207.223.240/53337 gaddr 10.0.0.187/53 laddr 192.168.0.2/53
Mar 29 2004 09:54:19: %PIX-6-302005: Built UDP connection for faddr 198.207.223.240/3842 gaddr 10.0.0.187/53 laddr 192.168.0.2/53
Mar 29 2004 09:54:19: %PIX-6-302005: Built UDP connection for faddr 198.207.223.240/36205 gaddr 10.0.0.187/53 laddr 192.168.0.2/53
Mar 29 2004 09:54:26: %PIX-4-106023: Deny icmp src outside:Some-Cisco dst inside:10.0.0.187 (type 3, code 1) by access-group "outside_access_in"
Mar 29 2004 09:54:27: %PIX-4-106023: Deny icmp src outside:Some-Cisco dst inside:10.0.0.187 (type 3, code 1) by access-group "outside_access_in"
Mar 29 2004 09:54:29: %PIX-4-106023: Deny icmp src outside:Some-Cisco dst inside:10.0.0.187 (type 3, code 1) by access-group "outside_access_in"

 

 

PROGRAMAS QUE OFRECEN recogida, almacenamiento y ANÁLISIS DE SYSLOG

Existen 3 interesantes programas:

–> Syslog Watcher, Kiwi SYSLOG y Visual Syslog.

alternativas-programas-syslog

SYSLOG WATCHER parece ser el más recomendable debido a las posibilidades de configuración que ofrece (algunas más que los otros programas).
 

Posteriormente si los archivos de Syslog son muy grandes (más de 1 Gb diario), utilizaremos una tarea programada con un BAT que comprima los Logs.
 
PARA TESTEAR EL FUNCIONAMIENTO DE SYSLOG WATCHER existe una interesante herramienta: SysLog Gen.

syslog-gen
 
Syslog Gen es una herramienta que funciona por terminal CMD, con la cual podemos generar Syslogs y enviarlos a la máquina que se encargue de recoger los Syslog y testear así el funcionamiento de los programas Analizadores de Syslogs que comentábamos anteriormente.
 
syslog-gen-cmd-parameters

 

 

Posibles Problemas o puntos negativos si tenemos que recoger los Syslog de un dispositivo:

– El tamaño de los Logs pueden llegar a ser bastante grandes (dependiendo del tráfico y las operaciones que deba registrar la máquina que envía los Syslog. Por esta razón es importante utilizar posteriormente un BAT u otro script que comprima de forma automatizada los logs).

Los informes no se realizan a una hora determinada, sino que la info se va recogiendo al momento, así que eso puede afectar al ancho de banda y al rendimiento de la máquina que recoge la info. Por ello es importante plantearse en qué máquina se implementará el programa para recoger los Syslogs, y con qué tipo de red contamos.

 

 

Pequeño ANÁLISIS de Analizadores de Syslog:

 

SYSLOG WATCHER

 syslog-watcher-4

syslog-watcher

 

Panel de control de Syslog Watcher:

panel-de-control-syslog-watcher
 
Elegante, serio y con muchas opciones. Permite iniciar y parar el servidor cuando se desee, cambiar el tiempo de actualización (por defecto actualiza cada 10 segundos), filtrar, buscar, importar, exportar….
 
Es compatible con Windows XP y con Windows 10 (además de las otras versiones de Windows), funciona como servicio de Windows, soporta IPv4 e IPv6, puede manejar hasta 5000 mensajes de Syslog por segundo, puede recoger los syslogs sobre TCP o UDP, generar alertas por email… en fin, multitud de interesantes opciones.
 

 

Opciones de Configuración de Syslog Watcher:

opciones-configuracion-syslog-watcher
 
Las opciones avanzadas para exportar los archivos de syslog son muy interesantes.

– Permite exportar los archivos a CSV, TXT o HTML. Y nombrarlos con la fecha (entre otras muchas opciones).

– También permite cambiar la codificación: Encoding (importante configurar en UTF-8 para no tener problemas).

(Los otros programas no ofrecen algunas de estas opciones).

– Otra opción interesante que ofrece es la de dividir los archivos cuando alcancen un tamaño determinado.

 

 

(Opcional) Posteriormente: COMPRESIÓN por medio de BAT que se lance con tarea programada

Podemos combinar la recogida en bruto de los Syslog por medio de Syslog Watcher,  con un archivo BAT que copiará y comprimirá de forma automática los archivos en otra ubicación, y con tareas programadas (para ejecutar la tarea todos los días a una hora intempestiva) en el equipo Windows que se encargue de recoger los Syslog y lanzar el BAT.

 

 

Pequeño Análisis de otros programas para recepción de SYSLOGS:

 

VISUAL SYSLOG:

 

Panel de control de Visual Syslog :

panel-visual-syslog

Es algo menos elegante, y bastante simple.

 

Lo que se puede echar en falta en Visual Syslog son algunas opciones avanzadas para nombrar los archivos que se registran. Para la mayoría de técnicos informáticos, es importante poder recoger los syslog por día, y que el archivo lleve la fecha del día.

 

Ejemplo de logs de Visual Syslog:

log-visual-syslog
 

Opciones de Visual Syslog (pestaña Principal):

opciones-visual-syslog-main
 
También permite recoger los Syslog por medio de TCP o de UDP, configurar la IP de la interface de red que estemos utilizando, y el puerto deseado.

 

 

Opciones de Visual Syslog (pestaña Archivos):

opciones-visual-syslog-files-tab

 

 

Opciones de Visual Syslog (pestaña Email):

visual-syslog-options-email-tab

También permite configurar alertas por email, con diferentes opciones de servidores de correo.

 

 

KIWI SYSLOG

kiwi-syslog

Descargar Kiwi Syslog Server (14 días de prueba)

Descargar Kiwi Syslog Server Free Edition
 

 
Diferencias entre la versión de pago (ofrece prueba de 14 días) y la versión gratuita de Kiwi Syslog Server:

versiones-kiwi-syslog-server
 
La versión gratuita permite recoger los syslog de hasta 5 dispositivos, también recoge y archiva los mensajes Syslog y las capturas SNMP.
 

Lo que no ofrece la versión free de Kiwi Syslog Server:

Envío de emails, ejecutar programas, archivar los logs según el dispositivo, reenviar a una base de datos ni entrar a la vista del server y su configuración a través de la interfaz web.

Quizás podemos considerarlo interesante si uno se plantea comprar la opción de pago; además permite ordenar los mensajes de Syslog por dispositivo. Pero en mi caso, al ser de pago la desecho como opción.

 

 

Cómo acceder a las opciones de Configuración de Kiwi Syslog:

acceder-a-opciones-de-config-kiwi-syslog

 

Opciones de configuración de Kiwi Syslog Server (versión de pago):

config-kiwi-syslog-options

 

Otros enlaces interesantes:

Syslog Log Samples (ejemplos de Syslog logs)

Ejemplo de Syslog de Router Netgear

 

 

En resumen: Syslog Watcher es una buena opción gratuita si necesitamos un analizador de SYSLOG, con múltiples e interesantes opciones de configuración.