Come inviare log a NetEye da un server in cloud

Posted by on giu 6, 2017 in Garante della Privacy, NetEye, Syslog | 0 comments

LogManagement_03

Mantenere una copia offline dei log non solo offre una maggiore visibilità da una prospettiva di gestione dei sistemi, ma può rivelarsi anche prezioso dopo un incidente di sicurezza nel caso in cui le copie locali dei file di log siano state danneggiate.

Come saprete, il modulo LogManager di NetEye offre una soluzione completa per la gestione dei log in linea con le richieste del Garante della Privacy e ne permette la gestione centralizzata (vedi anche i nostri articoli “Archiviazione dei log e poi?“ e “NetEye Log Management sul blog ufficiale di Elastic”).

NetEyeSyslog

Architettura del modulo LogManager:

  • sistema di log auditing e data collection basato su rsyslog;
  • agent (Safed) per l’invio dei log tramite protocollo syslog (RFC 3164 – di default configurato per l’invio via TCP su porta 514 a garanzia della corretta ricezione dei log inviati);

Il requisito principale da rispettare in questa architettura è garantire la comunicazione tra gli agenti Safed e NetEye sulla porta 514 TCP.

Durante una recente consulenza presso un nostro cliente ci è stata richiesta la possibilità di raccogliere i log da alcuni sistemi remoti in cloud su cui era disponibile solo un accesso remoto via SSH.
In questo articolo, vedremo come è possibile risolvere questo problema con una soluzione basata su reverse tunnel SSH e Safed su macchine Linux/Unix.

Read More

Nuovo rilascio di NetEye 3.6 e RUE 1.9!

Posted by on dic 15, 2015 in Asset Management, Development, Garante della Privacy, NetEye, Real User Experience Monitoring, Syslog | 0 comments

NetEye 3_6 and RUE 1_9 Release

Log auditing ad un nuovo livello, ottimizzazione dei report e miglior integrazione dei vari moduli

La nuova versione di NetEye 3.6 è caratterizzata da una profonda strategia migliorativa. Gli intensi sviluppi hanno portato innovazioni sia per soddisfare le esigenze dei clienti, sia per affrontare la sfida della crescente complessità del monitoraggio IT.

Le principali modifiche sono state implementate nel modulo di Reporting e nelle statistiche per gli SLA, standardizzando la struttura per l’archiviazione dei dati raccolti in un unico database.

Panoramica delle principali nuove funzionalità e miglioramenti apportati nella nuova versione:

Read More

Monitorare le attività di login/logoff degli amministratori Windows con Safed

Posted by on dic 3, 2015 in Garante della Privacy, NetEye, Syslog | 0 comments

Per poter adempiere alle richieste del Garante della Privacy, ma anche per motivi di sicurezza (vedi anche il nostro articolo “Archiviazione dei log e poi?“), è necessario registrare tutte le attività di login/logoff degli amministratori di sistema. L’agente Safed per Windows può essere configurato in modo da raccogliere tutti i tentativi di login e logoff (riusciti e falliti) da parte degli amministratori di sistema. L’agent dispone di un “System Administrator Discovery” che può essere eseguito per identificare ed elencare tutti gli amministratori di un dominio. Gli amministratori possono poi essere utilizzati come oggetti di filtro. Tutti gli eventi che riguardano un login/logoff vengono registrati, formattati e spediti al log server.

Read More

Rsyslog open FileHandler control with SyslogView 2.1.8

Posted by on gen 8, 2015 in NetEye, NetEye Updates, Syslog | 0 comments

To keep the number of open TCP connections of the Log Auditing server under control, the SyslogView version 2.1.8 contains a control in the daily archiviation script, to check the number of currently open connections.

This issue could be found in particular situations, where SAFED or other Audit agents might send across a routing device  from another network. If those connections are not closed properly, the number of pending connections grows, till reaching a limit of the server. Therefore this issue sould be considered in those situations and appear only in very specific situations.

This new version contains now a control of the number of open FH. If the number of suggested 1024 unclosed connections is exceeded, the HUP operation on the Rsyslog service, makes sure, to close not needed pending connections. An additional parameter ( -F ) in the check_neteye_logManager.sh verifies this conditions. This parameter is activated automatically in the SyslogView’s cron job, and alerts automatically into your NetEye monitoring environment.

An additional template of the rsyslog.conf  configuration file is stored in the includes folder of the syslogview installation folder (/var/lib/neteye/syslogview/).

Read More

NetEye: Nuovo Plugin MySQL Audit per SyslogView

Posted by on ott 9, 2014 in Garante della Privacy, NetEye, Non categorizzato, Syslog | 0 comments

In un installazione standard di MySQL il logging degli accessi avviene tramite l’attivazione del “general_log”, il quale forza a loggare qualsiasi attivita’ al processo MySQL. Come si puo’ immaginare, questo comporta un degrado delle performance generali del database nei momenti di maggiore utilizzo. Per ovviare a questi problemi di performance abbiamo pacchettizzato un plugin nativo per MySQL dedicato all’auditing il quale si integra con il nostro modulo Syslog View.

Impatto sulle performance di MySQL

Impatto sulle performance di MySQL
Usando il general log abbiamo un impatto sulle performance notevole (calo del throughput del 13.5% circa, e aumento dei tempi di risposta del 17.5%)*

Read More