syslog-ng — Ferramentas CySA+

syslog-ng

One Identity / Balabit

Coletor open-source de log Unix com suporte a RFC 3164/5424 sobre UDP/TCP/TLS/RELP.

Logs e SIEM Gratuito e Open Source Agente / Serviço Em Estudo Linux

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O syslog-ng (One Identity / Balabit) é um dos dois daemons dominantes de syslog em Unix. Coleta logs locais, filtra, faz parsing e encaminha para servidores centrais/SIEM via UDP/TCP/TLS, em RFC 3164 (BSD) e na forma estruturada RFC 5424.

Conceitos comuns na prova:

Níveis de facility e severity.
Templates para formatação de saída.
Transporte TLS para integridade na rede.
RELP para entrega confiável.
Patterndb para classificação de mensagens em alta performance.

Casos de uso

Encaminhamento centralizado de logs Linux para SIEM
Pipelines de retenção para compliance
Buffer e rate-limit na frente do indexer

Exemplo

# /etc/syslog-ng/syslog-ng.conf
destination d_siem {
    syslog("siem.internal" transport("tls") port(6514));
};
log { source(s_src); destination(d_siem); };