Extraer HASH y LOGS de Sophos UTM

Siguiendo con nuestras entradas de blog sobe los logs de Sophos UTM, en este artículo de conocimientos vamos a atender el tema de extraer logs de navegación web como si se tratara de una auditoria de empresa o petición para una investigación forense.

La herramientas necesarias que vamos a usar son:

  • Putty
  • WinSCP

Como hemos visto en anteriores ocasiones, estas dos utilidades son esenciales para muchas tareas relacionadas con appliances.

1. Configurar adecuadamente el acceso SSH a la máquina

2. Entrar por SSH con Putty y el usuario loginuser

3. Elevar privilegios a root

4. Ir al directorio de logs

Los logs están organizados por año, mes y dentro del mes tenemos un archivo comprimido por cada

5. Realizamos el hash y lo vuelca en un fichero en /home/login/

6. Comprimimos lo que queremos obtener, en este caso lo hacemos de todo un mes y sin comprimir ya que los logs ya se encuentran comprimidos

…y sacamos el hash del resultado con
find lba-http-log-01.tar -exec md5sum {} \; > nombre_de_fichero.txt

7. Lo descargamos con WinSCP ( y cambiamos la unidad con pushd)

y luego cambiamos el propietario de los ficheros para poder descargarlos con loginuser

Conectamos con WinSCP y transferimos los ficheros con SFTP a nuestra unidad local

8. Conviene borrar los ficheros del UTM una vez descargados

Para manteneros al día sobre temas de Seguridad IT y noticias destacadas, haceros fans de nuestra página de Facebook o síguenos en Twitter.