monitoramento de logs e registros de sistemas · para que servem os logs e os registros de sistemas...
TRANSCRIPT
Monitoramento de logs e registros Monitoramento de logs e registros de sistemasde sistemas
FATEC – AmericanaFATEC – Americana
Tecnologia em Análise de Sistemas e Tecnologias da Tecnologia em Análise de Sistemas e Tecnologias da InformaçãoInformação
Diagnóstico e solução de problemas de TIDiagnóstico e solução de problemas de TI
Prof. Humberto Celeste InnarelliProf. Humberto Celeste Innarelli
março/2009 Monitoramento de logs e registros de sistemas2
ConteúdoConteúdo
IntroduçãoIntrodução O que é log e registro de sistemaO que é log e registro de sistema Para que servem os logs e os registros de sistemasPara que servem os logs e os registros de sistemas Monitoria de logs e registros do sistemaMonitoria de logs e registros do sistema Ferramentas de monitoria de logs e registros de Ferramentas de monitoria de logs e registros de
sistemassistemas ExemploExemplo ConclusãoConclusão ExercíciosExercícios BibliografiaBibliografia
IniciarIniciar ConfiguraçõesConfigurações Painel de ControlePainel de Controle Ferramentas administrativasFerramentas administrativas Visualizador de eventosVisualizador de eventosouou IniciarIniciar ExecutarExecutar eventvwreventvwr
março/2009 Monitoramento de logs e registros de sistemas3
IntroduçãoIntrodução
Ferramenta de gerenciamento de sistemasFerramenta de gerenciamento de sistemas Registrar o eventoRegistrar o evento
– DataData– HoraHora– FonteFonte– CategoriaCategoria– UsuárioUsuário– ComputadorComputador– OutrosOutros
março/2009 Monitoramento de logs e registros de sistemas5
O que é log e registro de O que é log e registro de sistemasistema Registro de eventos do sistema Registro de eventos do sistema
operacional (usuário, impressão, etc)operacional (usuário, impressão, etc) Registro de eventos de segurançaRegistro de eventos de segurança Registro de eventos de aplicaçõesRegistro de eventos de aplicações Registro de eventos de sistemas Registro de eventos de sistemas
informatizados específicosinformatizados específicos
março/2009 Monitoramento de logs e registros de sistemas6
Para que servem os logs e Para que servem os logs e os registros de sistemasos registros de sistemas SegurançaSegurança Monitoria do eventos do sistema Monitoria do eventos do sistema
operacional operacional Monitoria dos serviços oferecidos por Monitoria dos serviços oferecidos por
servidores de rede e estaçõesservidores de rede e estações Trilhas de auditoriasTrilhas de auditorias OutrosOutros
março/2009 Monitoramento de logs e registros de sistemas7
Para que servem os logs e Para que servem os logs e os registros de sistemasos registros de sistemas SegurançaSegurança
– Investigação de tentativas de Investigação de tentativas de invasões e invasõesinvasões e invasões
– Identificação de portas abertas no Identificação de portas abertas no sistemasistema
– Identificação de Identificação de
março/2009 Monitoramento de logs e registros de sistemas8
Para que servem os logs e Para que servem os logs e os registros de sistemasos registros de sistemas Monitoria do eventos do sistema Monitoria do eventos do sistema
operacionaloperacional
março/2009 Monitoramento de logs e registros de sistemas9
Para que servem os logs e Para que servem os logs e os registros de sistemasos registros de sistemas Monitoria dos serviços oferecidos por Monitoria dos serviços oferecidos por
servidores de rede e estaçõesservidores de rede e estações
março/2009 Monitoramento de logs e registros de sistemas10
Para que servem os logs e Para que servem os logs e os registros de sistemasos registros de sistemas Trilhas de auditoriaTrilhas de auditoria
março/2009 Monitoramento de logs e registros de sistemas11
Monitoria de logs e Monitoria de logs e registros do sistemaregistros do sistema Política de monitoriaPolítica de monitoria Rotinas de monitoriaRotinas de monitoria Robôs monitoresRobôs monitores Ferramentas de monitoriaFerramentas de monitoria
março/2009 Monitoramento de logs e registros de sistemas12
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
Visualizador de eventos do WindowsVisualizador de eventos do Windows Visualizador de eventos do LinuxVisualizador de eventos do Linux Logcheck Logsurfer Swatch Log4j
março/2009 Monitoramento de logs e registros de sistemas13
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
Visualizador de eventos do WindowsVisualizador de eventos do Windows– Ferramenta do Windows para verificar os Ferramenta do Windows para verificar os
logs dos softwares MicroSoft instalados logs dos softwares MicroSoft instalados no PC ou servidorno PC ou servidor
– É possível verificar logs de aplicativos, É possível verificar logs de aplicativos, quando estes estão integrados com quando estes estão integrados com WindowsWindows
março/2009 Monitoramento de logs e registros de sistemas14
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
março/2009 Monitoramento de logs e registros de sistemas15
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
Visualizador de eventos do LinuxVisualizador de eventos do Linux– Ferramenta do linux para verificar os logs Ferramenta do linux para verificar os logs
dos softwares instalados no Linux (o dos softwares instalados no Linux (o arquivo de log deve ser compatível com o arquivo de log deve ser compatível com o visualizador)visualizador)
março/2009 Monitoramento de logs e registros de sistemas16
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
março/2009 Monitoramento de logs e registros de sistemas17
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
Logsurfer– Analisador de logs real-time– Automatiza a verificação do log e emite
alertas quando os eventos configurados ocorrerem
março/2009 Monitoramento de logs e registros de sistemas18
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
Logsurfer Exemplo de mensagens detectadas
março/2009 Monitoramento de logs e registros de sistemas19
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas Swatch
– O programa de varreduras Swatch O programa de varreduras Swatch (Simple watchdog).(Simple watchdog).
– O Swatch utiliza um arquivo que você O Swatch utiliza um arquivo que você deverá fornecer com as regras para deverá fornecer com as regras para leitura e classificação dos mesmos.leitura e classificação dos mesmos.
– O Swatch lê o arquivo de log, utilizando O Swatch lê o arquivo de log, utilizando estas regras, classificando e executando estas regras, classificando e executando ações premeditadas no arquivo.ações premeditadas no arquivo.
março/2009 Monitoramento de logs e registros de sistemas20
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
Swatch Exemplo de mensagens detectadas
março/2009 Monitoramento de logs e registros de sistemas21
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
Logcheck– Envia e-mail periodicamente ao
administrador do sistema alertando sobre os eventos que ocorreram desde a última execução do programa.
– As mensagens do logcheck são tratadas por arquivos em logcheck e organizadas em categorias.
março/2009 Monitoramento de logs e registros de sistemas22
Ferramentas de monitoria de Ferramentas de monitoria de logs e registros de sistemaslogs e registros de sistemas
Log4j– Gerencia logs de aplicativos e sistemas
Java
março/2009 Monitoramento de logs e registros de sistemas23
Exemplo – segurançaExemplo – segurança
Monitoria na Invasão no Microsoft Monitoria na Invasão no Microsoft Internet Information ServicesInternet Information Services– Invasão por falha de atualização do IISInvasão por falha de atualização do IIS– Utilização de uma dll chamada Utilização de uma dll chamada author.dllauthor.dll– Permissão de escrita na pastaPermissão de escrita na pasta– Troca do index.htmlTroca do index.html– Identificação e providênciasIdentificação e providências
LogLog do IIS do IIS
março/2009 Monitoramento de logs e registros de sistemas24
Exemplo – sistema Exemplo – sistema operacionaloperacional Monitoria de atualização de driver de Monitoria de atualização de driver de
impressoraimpressora– Identificação de driver desatualizadoIdentificação de driver desatualizado– Atualização do driverAtualização do driver– Visualização do evento de atualização de Visualização do evento de atualização de
driver e seus arquivosdriver e seus arquivos Log de sistema do Windows XPLog de sistema do Windows XP
março/2009 Monitoramento de logs e registros de sistemas25
Exemplo – sistema Exemplo – sistema operacionaloperacional
março/2009 Monitoramento de logs e registros de sistemas26
Exemplo – serviços e Exemplo – serviços e servidoresservidores Monitoria do sistema de backupMonitoria do sistema de backup
– Realização do backup diárioRealização do backup diário– Finalização do backupFinalização do backup– Verificação do evento de backupVerificação do evento de backup
Log de aplicativo do Windows XPLog de aplicativo do Windows XP
março/2009 Monitoramento de logs e registros de sistemas27
Exemplo – serviços e Exemplo – serviços e servidoresservidores
março/2009 Monitoramento de logs e registros de sistemas28
Exemplo – serviços e Exemplo – serviços e servidoresservidores Monitoria do sistema de inicialização Monitoria do sistema de inicialização
de serviços do Windowsde serviços do Windows– Inilialização do Sistema Win2000 ServerInilialização do Sistema Win2000 Server– Indicação de falha de inicialização em telaIndicação de falha de inicialização em tela– Verificação do evento de inicialização do Verificação do evento de inicialização do
serviço de armazenamento remotoserviço de armazenamento remoto Log de aplicativo do Win2000 ServerLog de aplicativo do Win2000 Server
março/2009 Monitoramento de logs e registros de sistemas29
Exemplo – serviços e Exemplo – serviços e servidoresservidores
março/2009 Monitoramento de logs e registros de sistemas30
ConclusãoConclusão
Segurança de redeSegurança de rede VulnerabilidadeVulnerabilidade Utilização para defensivaUtilização para defensiva Utilização ofensivaUtilização ofensiva Tecnologia sempre em evoluçãoTecnologia sempre em evoluçãoNão há espaço digital seguro, muito menos redes 100% Não há espaço digital seguro, muito menos redes 100%
protegidas. O que realmente deve existir, são bons protegidas. O que realmente deve existir, são bons profissionais e muita ética.profissionais e muita ética.
março/2009 Monitoramento de logs e registros de sistemas31
ExercícioExercício
Pesquisar as ferramentas e sua forma Pesquisar as ferramentas e sua forma de utilização:de utilização:– NmapNmap– NessusNessus– BrutusBrutus
março/2009 Monitoramento de logs e registros de sistemas32
BibliografiaBibliografia
EVELYN R. K., GELSON P. Segurança de redes sistema de EVELYN R. K., GELSON P. Segurança de redes sistema de detecção de intrusão. Curitiba, PR : Faculdade detecção de intrusão. Curitiba, PR : Faculdade Internacional de Curitiba, 2004.Internacional de Curitiba, 2004.
FEITOSA, E. L. Segurança em Sistemas de Informação. FEITOSA, E. L. Segurança em Sistemas de Informação. Recife, PE : UFPE, 2005.Recife, PE : UFPE, 2005.
LEONARDO, G. M. Fundamentos e Desafios atuais LEONARDO, G. M. Fundamentos e Desafios atuais emSegurança de Tecnologia daInformação. São Leopoldo, emSegurança de Tecnologia daInformação. São Leopoldo, RS : UNISINOS, 2006.RS : UNISINOS, 2006.
OLIVEIRA, W. J. Dossiê Hacker, técnicas profissionais para OLIVEIRA, W. J. Dossiê Hacker, técnicas profissionais para proteger-se de ataques. São Paulo, SP : Digirati, 2006.proteger-se de ataques. São Paulo, SP : Digirati, 2006.
Vianna, W. S. Vianna, W. S. Proposta de implementação de segurança Proposta de implementação de segurança para redes locais com acesso a internet. Lavras, MG : UFL, para redes locais com acesso a internet. Lavras, MG : UFL, 2004.2004.