Configuração do registo do Log de uma SonicWall TZ 170 num servidor linux Ubuntu

Pequeno apontamento sobre como configurar o registo do log de uma firewall SonicWall TZ170 num servidor linux - Ubuntu 6.06

Nota: Este apontamento destina-se a utilizadores e administradores de sistemas já com alguns conhecimentos sobre linux. Como sempre, não nos podemos responsabilizar por problemas ou falhas de serviço que possam ocorrer na sequência da implementação dos procedimentos descritos neste artigo.

O serviço Syslog é o serviço standard nas instalações linux e Unix para registar e encaminhar os registos de eventos dos serviços e aplicações que correm num computador. Para além de fazer o registo local pode reencaminhar os eventos para outros servidores Syslog e também receber eventos de outros servidores.

O Syslog não é isento de problemas e já esteve relacionado com falhas de segurança, esta solução foi implementada em LANs com ambientes razoavelmente controlados. Convém sempre ler a documentação para percebermos bem o que estamos a fazer e as implicações que pode ter.

Nesta configuração iremos encaminhar os eventos de uma firewall SonicWall TZ170 para um servidor linux Ubuntu.

Passos no server Ubuntu

A configuração original do Ubuntu inicia o server Syslog apenas apto a registar eventos no próprio sistema, ou seja, não abre uma porta TCP para que possa receber eventos enviados por outros sistemas.

Temos que editar o ficheiro de arranque do servidor Syslog e alterar os parâmetros.

Ficheiro: /etc/init.d/sysklogd

É colocado um "#" no inicio da linha que define a variável SYSLOGD para a tornar sem efeito e define-se um novo parâmetro:

#SYSLOGD="-u syslog"
SYSLOGD="-r"

De seguida temos que configurar o serviço Syslog de modo a que os eventos recebidos da SonicWall sejam registrados num ficheiro próprio.

Como a SonicWall não envia informação de sinalização do serviço Syslog os eventos são catalogados sobre a "facility" local0.

Assim, basta-nos adicionar o seguinte ao ficheiro de configuração do Syslog, /etc/syslog.conf

# SonicWall firewall
local0.*         -/var/log/sonicwall

Os eventos da SonicWall serão armazenados no ficheiro /var/log/sonicwall.

O traço ("-") antes do nome do ficheiro indica ao Syslog que não é necessário forçar imediatamente a escrita para disco das alterações feitas. Isto irá tornar o trabalho menos penoso para o servidor em que estiver instalado.

O Syslog pode ser reiniciado utilizando o comando:

/etc/init.d/sysklogd restart

Passos a dar na SonicWall

Na SonicWall, a partir página de configuração Log > Automation basta adicionar o servidor que irá receber e registrar o log à lista de servidores Syslog, podem-se adicionar até 4 servidores.