Extraer HASH y LOGS de Sophos UTM

By 19 septiembre, 2017 septiembre 21st, 2017 Log, Seguridad informática, Sophos UTM

Siguiendo con nuestras entradas de blog sobe los logs de Sophos UTM, en este artículo de conocimientos vamos a atender el tema de extraer logs de navegación web como si se tratara de una auditoria de empresa o petición para una investigación forense.

La herramientas necesarias que vamos a usar son:

  • Putty
  • WinSCP

Como hemos visto en anteriores ocasiones, estas dos utilidades son esenciales para muchas tareas relacionadas con appliances.

1. Configurar adecuadamente el acceso SSH a la máquina

2. Entrar por SSH con Putty y el usuario loginuser

3. Elevar privilegios a root

4. Ir al directorio de logs

Los logs están organizados por año, mes y dentro del mes tenemos un archivo comprimido por cada

5. Realizamos el hash y lo vuelca en un fichero en /home/login/

6. Comprimimos lo que queremos obtener, en este caso lo hacemos de todo un mes y sin comprimir ya que los logs ya se encuentran comprimidos

…y sacamos el hash del resultado con
find lba-http-log-01.tar -exec md5sum {} \; > nombre_de_fichero.txt

7. Lo descargamos con WinSCP ( y cambiamos la unidad con pushd)

y luego cambiamos el propietario de los ficheros para poder descargarlos con loginuser

Conectamos con WinSCP y transferimos los ficheros con SFTP a nuestra unidad local

8. Conviene borrar los ficheros del UTM una vez descargados

Para manteneros al día sobre temas de Seguridad IT y noticias destacadas, haceros fans de nuestra página de Facebook o síguenos en Twitter.

Copyright 2017, TresW