Mostrando entradas con la etiqueta logs. Mostrar todas las entradas
Mostrando entradas con la etiqueta logs. Mostrar todas las entradas

lunes, 5 de febrero de 2018

NAGIOS. Logs. What is the last change..

For to known who & when has been modified something we can consult the NagiosXI  (Audit Log) log

 In the Admin zone:


Check at Nagios XI
by GoN | Published: Febrary 5, 2018 | Last Updated:

Publicado por en No hay comentarios:
Etiquetas: ,

viernes, 24 de marzo de 2017

NAGIOS. Unauthorized user. Rapid Response

An anecdote in Nagios.

 One user inform us that he can access a lot of information at our Nagios System. This user can't access to Nagios. And my questios was "How have you been able to do it?"

The user send us some screenshoot like:


We start a little analisys:

[ ] Check audit logs



I find which the user that have connected. I can view his username, IP address and date connection.

[ ]  Now, With your username and I can check his user privileges 



He has read only permissions.

[] I compare the audit date log with other user screenshot

[ ] I connect to Nagios server by console. With the IP addrees I check the Apache logs:


We can view what is the first user link connection.

  https://servidor/nagiosxi/rr.php?uid=6-7233-d69ce763420a85291a4ab106cf57d15d
[ ] CONCLUSION:

In Apache logs We can see which URL he has used and how the user cut the URL (log apache second line) to connect to other Nagios options later ( https://servidor/nagiosxi).

The origin was one URL in a well-known informative email.


When the user clicking the link goes to Nagios: 

by GoN | Published: March 24, 2017 | Last Updated:
Publicado por en No hay comentarios:
Etiquetas: , ,

jueves, 9 de febrero de 2017

Cisco. Send logs to Syslog Server.

Enable send logs from a Cisco Switch:

1.     Check the config 

show run | i logging

2.      Configure the switch 

conf t
logging host 11.11.11.11
end

         3 Change the switch level logging 

conf t
logging console debugging
logging monitor debugging
logging buffer debugging
end
wr

Example user logins reports:

conf t
archive
log config
  logging enable
  notify syslog contenttype plaintext
  hidekeys
logging on
login block-for 60 attempts 3 within 60
login on-failure log every 1
login on-success log every 1

For Cisco 4500, check:

4500(config)#login on-success trap every 1
4500(config)#login on-success log every 1
4500(config)#login on-failure trap every 1
4500(config)#login on-failure log every 1
4500(config)#ip ssh logging events
logging source-interface vlanX

Configure the output source vlan for the logs (Force output from an ip) 

logging source-interface vlanX

Others commands

sh logging queue: to check the queue

 My syslog server is Kiwi Syslog

More info: http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113603-asa-missing-logs-00.html


 by GoN | Published: Febrary 9, 2017 | Last Updated:
Publicado por en No hay comentarios:
Etiquetas: ,

lunes, 25 de julio de 2016

WINDOWS. Suscripciones y envío de eventos (Event Subscriptions - Forwarding)


En este post explicaré como configurar un servidor centralizado de eventos de Windows y como configurar un cliente para que envíe sus eventos.

Esta configuración da un montón de posibilidades para tener una mejor visión de lo que está ocurriendo en nuestros servidores.


Alta de los hosts

 [SERVIDOR] Configurar el Servidor que centralizará los log (Collector)

 Abrir un cmd como administrador y ejecutar: Wecutil qc


[CLIENTE] Configuramos el cliente (Source)


Configuración de los hosts

[CLIENTE] Abrimos el Server Manager en el cliente.

Añadimos en el servidor cliente (Source) al grupo administradores locales la máquina a la que se enviarán los logs (Collector)


[SERVIDOR] Configuración del Servidor de log (Collector)

Abrimos el visor de eventos (eventvwr) y hacemos lo siguiente:



Ponemos un nombre y una descripción


Añadimos los servidores que queremos centralizar en “Select Computers…”:



Desde el menú de "Select Events..." especificaremos que eventos nos interesa que nos reenvíen los clientes



Al salir veremos que todo ha ido OK


La manera de comprobar que está funcionado es en la pestaña "Forwarded Events"


Habría que preparar el "Forwarded Events" para recibir un gran volumen de información:



Si queremos optimizar o cambiar de puertos


Más Info: 
https://blogs.technet.microsoft.com/askds/2011/08/29/the-security-log-haystack-event-forwarding-and-you/
GoN. Jul2016

Publicado por en No hay comentarios:
Etiquetas: , ,

lunes, 26 de enero de 2015

Avisos del Visor de Eventos.


Si estamos teniendo problemas en un servidor y nos interesa que nos avise de alguna manera o haga una acción cuando pase algún evento, tenemos una manera sencilla de configurarlo.


Ejecutamos el visor de eventos (eventvwr) donde iríamos a mirar que está pasando. Selecionamos el evento que queremos que nos avise, en este caso Sistema -> ID 7036 y pulsamos botón derecho, ahora marcamos "adjuntar tarea a este evento..."


 Nos saldrá la siguiente pantalla donde podemos hacer nuestras anotaciones.

Seguimos aceptando

Elegimos que nos envíe un email


Rellenamos la siguiente información



Si marcamos "Abrir el diálogo..." nos permite revisar lo que hemos hecho y modificarlo.



Para tener un control de todo lo que hemos configurado nos tenemos que ira a Programador de Tareas-> Biblioteca del programador de tareas -> Tareas del Visor de eventos



Probado en un Windows Server 2008 R2

Actualizado: http://gonsystem.blogspot.com.es/2015/06/deprecated-envio-aviso-de-evento-por.html

GoN Ene2015

Publicado por en 1 comentario:
Etiquetas: , , ,

viernes, 28 de junio de 2013

Kiwi syslog cola de envio emails


He detectado que los emails de aviso del Kiwi Syslog me estaban llegando entre minutos y horas tarde. Para según que aviso es demasiado tarde para actuar.

La causa era que tenía una larga cola de emails pendiente de envío. El motivo que se me acumulasen estos emails era que había puesto el destinatario mal, y en lugar de hacer X intentos y eliminar los emails o dar error, está intentándolo enviar los emails hasta el infinito. Mi error fue poner un ";" entre dos correos, cuando tendría que haber puesto una ",".

Me costó mucho descubrir como arreglarlo y al final fue algo tan sencillo como lo que aquí voy a detallar aquí.

En el manual de ayuda encontré lo siguiente: 


En la parte inferior derecha me decía que tenía 50 emails en cola pendientes de envío.

Para purgar la cola de emails hay que hacer lo siguiente:

1. Ir a  “File -> Purge -> Purge Mail Queue”, 

2. Reinicia el servicio de "Kiwi Syslog Server" y purgar otra vez:



GoN
Publicado por en No hay comentarios:
Etiquetas: , , ,

miércoles, 7 de noviembre de 2012

Kiwi Syslog configurar alertas

Con este post pretendo expliar una de las maneras rápidas que tenemos, usando el Kiwi Syslog, de enterarnos de eventos concretos que suceden en nuestra red.

 Todas las consultas que explicaré se hacen mediante SNMP, para los que no estén muy familiarizados tengo un artículo que puede ayudar http://gonsystem.blogspot.com.es/2010/12/gestion-de-logs-de-la-red.html

Una pantalla estandar del Kiwi Syslog de recepción de todos los eventos de nuestros hosts sería la siguiente:


Depende como tengamos configurado nuestro syslog puede ser un continuo la recepción de eventos, haciendo difícil localizar de una manera rápida y visual los más conflictivos.

Está claro que hay eventos que nos interesa saber cuando están pasado lo antes posible. Aquí explicaré como lo tengo yo. No hace mucho que tengo este programa, pero poco a poco le voy bien sus grandes ventajas.

Por ejemplo, quiero que me avise cuando alguien se conecte en modo MANAGER en alguno de mis switches.

Empezamos....

Como no se que tengo que mirar, primero entro en el switch en modo MANAGER para ver que me dice el Kiwi, me sale lo siguiente:


Vemos a que switch me he conectado y el nombre y la IP del PC desde el PC que me he conectado.

Vamos a configurar que nos avise. Entramos en modo configuración "Setup"


Y añadimos una nueva regla:


Nos creará lo siguiente con lo que poder trabajar:

A mi me gustar ir renombrando lo que vamos creando, "New Rule" -> "Rule Test Manager", para identificarla más rápidamente y cuanto tengamos unas cuantas poder trabajar mejor.

Añadiremos el filtro que nos ayudará a cazar el evento:



Renombro el "New Filter" por "Filter MANAGER" y en este caso del campo "Field" elegiré la opción "Message text"


Añando la cadena que quiero que me avise cuando aparezca en los logs, en este caso es "MANAGER" y damos a "Apply" para guardar los cambios.


Ahora añandiremos una "Action", que es lo que queremos que haga cuando encuentre el texto anterior:

 Renombro "New Action" por "Action MANAGER" y le digo que quiero que me envíe un email.


Nos saldrá la siguiente pantalla que tendremos que configurar a nuestro gusto:


Yo lo he configurado así:


Con lo que me llegan emails de este tipo:


Si lo que queremos también es ver, en nuestra pantalla de recepción de logs, de una manera rápida estos registros deberíamos hacer lo siguiente:

En la pantalla donde tenemos los logs dar botón derecho opción "Highlighthing"



Le damos a la opción de +


Le añadimos la cadena "MANAGER" en la opción de "String to match:" y luego ponemos el icono y los colores que queramos que llame más la atención. En la colunma "Field" acuérdate de poner "Message":


Algunas reglas que tengo puestas en lo que controla avisos de la electrónica de Red Cisco, podrían ser:







GoN. Rev 2. Julio 2015. 
Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)