Con lo monitorización del sistema vamos a poder auditar los eventos que se han producido en nuestro equipo.
Monitorización en Windows
Podemos abrir el visor de sucesos mediante la orden evenlvwr.msc. Podemos ver que guarda información de los sucesos de aplicación, seguridad y sistema.
Esta información es guardada en los archivos AppEvent.Evt, SecEvent.Evt y SysEvent.Evt, ubicados todos ellos en el directorio %SystemRoot%\system32\config.
Es muy importante configurar correctamente el tamaño y el acceso a los mismos. El tamaño debe ser lo suficientemente grande para albergar los sucesos producidos en el sistema hasta que lo auditemos. Y como es lógico, para evitar que 105 intrusos borren sus huellas sólo deberán tener permisos de control total el técnico o técnicos ,encargados de la seguridad del sistema.
Monitorización en Linux
Linux tiene un complejo visor de sucesos que podemos arrancar desde Sistema> Administración> Visor de archivos de sucesos.
Para simplificar la auditoria, Linux tiene un conjunto de comandos, que se especializan en el registro de los distintos eventos. Para auditor las entradas al sistema utilizaremos el comando last, para auditar los accesos fallidos usaremos el comando lastb y paro las conexiones al sistema por red utilizaremos el comando lastlog.
No hay comentarios:
Publicar un comentario
Comenta lo que sea!