PDF de programación - Registro, Centralización y Análisis de Eventos en un entorno Corporativo Multiplataforma

Registro, Centralización y Análisis de Eventos en
un entorno Corporativo Multiplataforma



DARÍO IVÁN ORTEGA VALIDO
ETIS

IGNASI RIUS FERRER

08 de marzo de 2013



UOC. Trabajo Final de Carrera. Memoria



AGRADECIMIENTOS

Mi más sincera gratitud a todos los que han hecho posible este momento
-compañeros, tutores y docentes-.

En especial, a Resu. Sin él, este trabajo jamás hubiera existido.
A él, a Mapi, a Luis y a Victor -recupérate pronto- por su apoyo y empuje indicional durante estos años.
A Susi, Antonio, Moisés y Octavio por esos minutos que siempre pudieron dedicar.

Gracias, Ignasi por tus ánimos y adecuada guía en este trabajo final de carrera.

Registro, Centralización y Análisis de Eventos en un entorno Corporativo Multiplataforma.

Marzo de 2013. Pág. 2

UOC. Trabajo Final de Carrera. Memoria

Índice de Contenidos

1.

1.1.

1.2.

1.3.

1.4.

1.5.

1.6.

2.

2.1.

2.2.

3.

3.1.

3.2.

3.3.

3.4.

4.

4.1.

4.2.

Descripción del trabajo final de carrera ...................................................................... 11

Introducción: eventos y logs ........................................................................................ 11

Antecedentes ............................................................................................................... 11

Descripción del trabajo ................................................................................................ 12

Alcance ......................................................................................................................... 12

Sistemas gnu/linux y software libre a implementar .................................................... 13

Marco de realización ................................................................................................... 13

Objetivos ...................................................................................................................... 13

Objetivo general .......................................................................................................... 13

Objetivos específicos ................................................................................................... 13

Planificación ................................................................................................................. 14

Diagrama de gantt. Planificación inicial ....................................................................... 16

Diagrama de gantt. Seguimiento pac2 ........................................................................ 18

Diagrama de gantt. Seguimiento pac3 ........................................................................ 19

Diagrama de gantt. Seguimiento pac4 ........................................................................ 20

Especificación de requisitos ......................................................................................... 21

Requisitos funcionales globales ................................................................................... 21

Requisitos específicos de los producto a implementar ............................................... 21

4.2.1.

Herramientas de centralización ................................................................................... 21

4.2.2.

Herramientas de análisis ............................................................................................. 22

4.3.

Requisitos de integración ............................................................................................ 23

4.3.1.

Especificación de consumidores del servicio ............................................................... 24

4.3.2.

Homogenización tecnológica ....................................................................................... 24

4.3.3.

Almacenamiento y repositorios de información ......................................................... 24

4.3.4.

Flujos de interconexión................................................................................................ 24

4.4.

Requisitos de implementación .................................................................................... 24

5.

5.1.

5.2.

Análisis de la centralización de logs y eventos. ........................................................... 26

Transferencias con rsync ............................................................................................. 26

El protocolo syslog. Los colectores ............................................................................. 26

5.2.1.

El formato del mensaje ................................................................................................ 28

5.2.1.1. La cabecera (header) ................................................................................................... 29

5.2.1.2. Los datos estructurados (structured-data) .................................................................. 30

5.2.1.3. El mensaje (msg) .......................................................................................................... 31

Registro, Centralización y Análisis de Eventos en un entorno Corporativo Multiplataforma.

Marzo de 2013. Pág. 3

UOC. Trabajo Final de Carrera. Memoria

5.2.2.

Los colectores. ............................................................................................................. 31

5.3.

Recolección de eventos ............................................................................................... 32

5.3.1.

Esquema básico de funcionamiento ............................................................................ 32

5.3.2.

Política recolección de eventos ................................................................................... 33

5.3.2.1. Salvaguarda de los eventos ......................................................................................... 33

5.3.2.2. Organización de los repositorios locales ..................................................................... 33

5.3.2.3. Tipificación para bbdd ................................................................................................. 34

5.3.2.4. Tipología de eventos .................................................................................................... 36

5.4.

Centralización de logs .................................................................................................. 37

5.4.1.

Esquema básico de funcionamiento ............................................................................ 37

5.4.2.

Política de centralización de logs ................................................................................. 38

5.4.2.1. Competencias generales del sistema de centralización .............................................. 38

5.4.2.2. Organización del repositorio centralizado ................................................................... 38

6.

Definición de productos ............................................................................................... 40

6.1.

Software base: sistemas operativos gnu/linux ............................................................ 40

6.1.1.

Resumen básico de características de la distribución ................................................. 40

6.1.2.

Alternativas .................................................................................................................. 41

6.2.

Centralización de logs .................................................................................................. 42

6.2.1.

Rsync ............................................................................................................................ 42

6.2.1.1. Características. ............................................................................................................. 42

6.2.1.2. Alternativas .................................................................................................................. 42

6.2.2.

Deltacopy ..................................................................................................................... 42

6.2.2.1. Características. ............................................................................................................. 43

6.2.2.2. Alternativas .................................................................................................................. 43

6.3.

Recolección de eventos ............................................................................................... 43

6.3.1.

Rsyslog ......................................................................................................................... 43

6.3.1.1. Características .............................................................................................................. 44

6.3.1.2. Alternativas .................................................................................................................. 45

6.3.2.

Ntsyslog........................................................................................................................ 45

6.3.2.1. Características .............................................................................................................. 46

6.3.2.2. Alternativas .................................................................................................................. 46

6.4.

Análisis de eventos ...................................................................................................... 46

6.4.1.

Loganalyzer .................................................................................................................. 46

6.4.1.1. Características .............................................................................................................. 48

Registro, Centralización y An