Kiwi Syslog configurar alertas

Con este post pretendo expliar una de las maneras rápidas que tenemos, usando el Kiwi Syslog, de enterarnos de eventos concretos que suceden en nuestra red.

Todas las consultas que explicaré se hacen mediante SNMP, para los que no estén muy familiarizados tengo un artículo que puede ayudar http://gonsystem.blogspot.com.es/2010/12/gestion-de-logs-de-la-red.html

Una pantalla estandar del Kiwi Syslog de recepción de todos los eventos de nuestros hosts sería la siguiente:

Depende como tengamos configurado nuestro syslog puede ser un continuo la recepción de eventos, haciendo difícil localizar de una manera rápida y visual los más conflictivos.

Está claro que hay eventos que nos interesa saber cuando están pasado lo antes posible. Aquí explicaré como lo tengo yo. No hace mucho que tengo este programa, pero poco a poco le voy bien sus grandes ventajas.

Por ejemplo, quiero que me avise cuando alguien se conecte en modo MANAGER en alguno de mis switches.

Empezamos....

Como no se que tengo que mirar, primero entro en el switch en modo MANAGER para ver que me dice el Kiwi, me sale lo siguiente:

Vemos a que switch me he conectado y el nombre y la IP del PC desde el PC que me he conectado.

Vamos a configurar que nos avise. Entramos en modo configuración "Setup"

Y añadimos una nueva regla:

Nos creará lo siguiente con lo que poder trabajar:

A mi me gustar ir renombrando lo que vamos creando, "New Rule" -> "Rule Test Manager", para identificarla más rápidamente y cuanto tengamos unas cuantas poder trabajar mejor.

Añadiremos el filtro que nos ayudará a cazar el evento:

Renombro el "New Filter" por "Filter MANAGER" y en este caso del campo "Field" elegiré la opción "Message text"

Añando la cadena que quiero que me avise cuando aparezca en los logs, en este caso es "MANAGER" y damos a "Apply" para guardar los cambios.

Ahora añandiremos una "Action", que es lo que queremos que haga cuando encuentre el texto anterior:

 Renombro "New Action" por "Action MANAGER" y le digo que quiero que me envíe un email.

Nos saldrá la siguiente pantalla que tendremos que configurar a nuestro gusto:

Yo lo he configurado así:

Con lo que me llegan emails de este tipo:

Si lo que queremos también es ver, en nuestra pantalla de recepción de logs, de una manera rápida estos registros deberíamos hacer lo siguiente:

En la pantalla donde tenemos los logs dar botón derecho opción "Highlighthing"

Le damos a la opción de +

Le añadimos la cadena "MANAGER" en la opción de "String to match:" y luego ponemos el icono y los colores que queramos que llame más la atención. En la colunma "Field" acuérdate de poner "Message":

Algunas reglas que tengo puestas en lo que controla avisos de la electrónica de Red Cisco, podrían ser:

GoN. Rev 2. Julio 2015. 

Truco Ahorro bateria Android

No soy ningún experto en el tema, pero uso Android desde hace un par de años,  curioseando he encontrado un artículo que a los que tenemos Android nos puede interesar.

La finalidad es intentar que nos dure un poco más la batería.




Los pasos son los siguientes;

1. Ir a dialer del teléfono y marque *#*#4636#*#*  sin llegar a apretar el botón "llamar"
2. Aparecerá un menú oculto de información y configuración de nuestro teléfono
3. En el menú de pruebas elegir "Información del teléfono" o "Phone Information"
4. Hacer scroll hacia abajo hasta alcanzar el primer desplegable.
5. Elige la configuración deseada (Recomendamos GSM auto (PRL) )

Las opciones más comúnes a elegir y su significado son:

• GSM only: Si no necesitas conexiones rápidas ésta es la opción que más ahorro de batería producirá conectándote principalmente a las redes 2G.
• GSM auto (PRL): Un buen equilibrio entre velocidad y batería: Intentará usar redes 3G pero no estará constantemente buscando Conexiones mejores.
• WCDMA Only: Si vives en un sitio con poca covertura GSM pero buena covertura HSDPA ésta es la opción que te interesa. Gasta más batería que en la anterior.
• WCDMA preferred: Gasta menos batería que el únicamente WCDMA.
• WCDMA only: El que gasta más batería buscando únicamente la conexión más rápida.

GoN

Problemas al instalar un programa

No se si os ha pasado alguna vez, que cuando más prisa hay por hacer algo, todo se complica un poco más... estoy seguro que si. Pues aquí explicaré algo muy básico, pero que si no te lo has encontrado alguna vez te puedes volver loco. La manera de solucionarlo es muy sencilla, esto en las versiones anteriores de Microsoft no me lo había cruzado antes. 

Este documento se ha hecho con un servidor que tiene el siguiente S.O.:

El problema viene cuando intentas instalar alguna aplicación y nos sale el siguiente error: "windows no tiene acceso al dispositivo ruta de acceso o archivo especificado"

Mi primer intento fue ejecutarlo como administrador:

Pero no funcionó, mi segunda opción fue otorgarme todo tipo de permisos:

Tampoco funcionó, así que decidí consultar a Microsoft y me hizo ver una opción por la que había pasado 2 veces por delante sin darme cuenta:

Por fin funciona!! ;-)

GoN

ACL Cisco básica

Hoy explicaré un pequeño ejemplo de Access List en un Switch Cisco 3750 de nivel 3, en que un servidor (192.111.222.10) pueda acceder a unas impresoras por el protocolo tcp de una vlan (192.111.14.102, 192.111.14.104 y 192.111.14.105) a unos pc de otra vlan, por tcp y udp.

Así afinamos un poco más nuestra seguridad.

La configuración de las Vlan serán las siguientes:

interface Vlan14
description IMPRESORASTEST
ip address 192.111.14.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!

interface Vlan12
description PCSTEST
ip address 192.111.14.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
!


interface Vlan222
description PROVEEDOR
ip address 192.111.222.1 255.255.255.0
ip access-group PERMIT_PROVEEDOR in
no ip redirects
no ip unreachables
no ip proxy-arp
!

Explicaré esta última que engloba las anteriores con algún comando más:

Nombre de la Vlan: Vlan222
Le damos una descripción: PROVEEDOR
Donde definimos el rango con el que trabajar: 192.111.222.X 
La puerta de enlace que va a tener:  192.111.222.1  
Que se aplicará a toda la información de entrada:  in
El añadir la línea "ip access-group PERMIT_PROVEEDOR in" hace que se aplique a esta vlan la ACL.


Ahora vamos a crear la Access List.

Pondrémos el "remark" para añadir comentarios y hacer más visual los comandos.

ip access-list extended PERMIT_PROVEEDOR
 remark PROVEEDOR_VPN
 permit tcp host 192.111.222.10 host 172.77.1.180 established


Damos acceso al proveedor a través de una VPN, 172.77.1.180 ip que le asigna nuestro Firewall, hasta el servidor dentro de nuestra red (192.111.222.10).

 remark PC_ACCESO_PROVEEDOR
 permit tcp host 192.111.222.10 host 192.111.12.10
 permit tcp host 192.111.222.10 host 192.111.12.11
 permit udp host 192.111.222.10 host 192.111.12.10
 permit udp host 192.111.222.10 host 192.111.12.11
 remark PROVEEDOR_ACCESO_PRN
 permit tcp host 192.111.222.10 host 192.111.14.102
 permit tcp host 192.111.222.10 host 192.111.14.103
 permit tcp host 192.111.222.10 host 192.111.14.105
 deny   ip any any
!

Hay que tener presente que no hemos activado el protocolo icmp, así que no podremos hacer ping para verificar que está correcto, bastará con imprimir o compartir carpetas entre host para ver que todo funciona. 

Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).

¿Donde está bloqueado mi usuario?

Voy a comentar un programa que viene con la descarga del EventComMT de Microsoft.  No necesita instalación.

http://www.microsoft.com/en-us/download/details.aspx?id=18465

Ya expliqué algunas utilidades que se le puede dar a este software el en post:

http://gonsystem.blogspot.com.es/2011/05/visor-de-sucesos-eventos-eventcombmt.html

Aparece otro binario cuando descomprimimos este software de Microsoft que se llama LockoutStatus, este nos permite ver de todos nuestros DC en que situación está el estado de un usuario:

Ejecutamos el programa y vamos a la opción de "File" marcamos "Select Target..." y ponemos un nombre de usuario a buscar, en este caso "arodriguez"

El nombre de nuestro dominio debe estar como figura en la pantalla:

Yo tengo unos cuantos servidores repartidos por varias empresas con lo que sale un resultado como el siguiente:

Donde estas columnas nos pueden ser muy útiles:

Si lo hacemos con el usuario famoso "invitado" que viene con la instalación de Windows, en este caso nos comentaría lo siguiente:

GoN

Conectar cable consola a Switch o Router Cisco.

Voy a explicar algo muy básico que muchas veces se da por hecho que lo sabemos todos, pero no está demás recordarlo para el que no lo tengan tan claro o ayudar a que nunca lo haya hecho antes. Se trata de como acceder a un Switch o Router Cisco por primera vez con el cable de consola. En este caso es un Switch 2960.

Lo explicaré usando dos programas diferentes con Hyperterminal y con Putty.

El cable de consola Cisco sería similar a este:

Con Hyperterminal:

Abrimos el famoso hyperterminal de nuestras Windows:

Ponemos un nombre donde guardar la nueva configuración:

En mi caso usaré el COM1, depende del PC

La configuración de conexión será la siguiente:

Nos saldrá la siguiente pantalla:

Si le cuesta aparecer el texto de conexión mejor dar un par de "enters". Si el Switch no está configurado veremos una pantalla como la anterior. Si no ya pasaría a pedirnos credenciales.

Con Putty:

Esta opción es igual de buena para Windows como para Linux:

GoN

NMap - Escaner de Red

Hace tiempo expliqué como buscar los hosts conectados en nuestra red con la herramienta "nbtscan"

 http://gonsystem.blogspot.com.es/2010/12/nbtscan-escaner-de-red.html. 

Hoy comentaré como hacerlo con NMap, esto solo es una pequeña opción de un gran abanico de posibilidades que nos ofrece esta conocida herramienta.

Los parametros son sencillos, de hecho son los que nos aparecen en la ayuda: nmap -v -sn X.X.X.X/24

El resultado sería algo parecido a lo siguiente:

Usando las dos configuraciones que he explicado, sin entrar en combinar parámetros, el resultado del nmap ha mejorado el obtenido por el nbtscan.

Con el comando: nmap -T4 -A -v NombreServidor de da un informe completo de puertos y servidos del servidor seleccionado. 

Para rastrear rango de IP un par de tests que no dejaría de pasar:

nmap -PO -PU x.x.x.x/24   y nmap -Pn x.x.x.x/24

Para ejecutarlo de manera siguilosa: Nmap -Ss -O -V ip

El Zmap podría ser la variante web de esta herramientas.

GoN. Rev 2 Ene2015