إظهار سجل النظام
استخدام محرك SKOOR كخادم لسجل النظام
يمكن عرض رسائل Syslog من مصادر داخلية أو خارجية. يمكن تهيئة البرنامج الخفي rsyslog المحلي للسماح بتمرير رسائل syslog الواردة. يتوفر ملف تكوين قالب على مضيف SKOOR Engine. سيعمل التكوين كما هو إذا تمت إعادة تسميته إلى .conf:
# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf # service rsyslog restart (Redhat 6) or # systemctl restart rsyslog.service (Redhat 7)
ثم أعد تشغيل خدمة syslog باستخدام أحد الأوامر التالية:
# service rsyslog restart (Redhat 6) # systemctl restart rsyslog.service (Redhat 7)
سيقوم خادم SKOOR Engine الآن بالاستماع على منفذ UDP syslog الافتراضي UDP 514 لمرور سجلات الرسائل الواردة.
مصادر سجلات Syslog
لاستخدام محرك SKOOR Engine كخادم لسجل السجلات لعملاء سجلات السجلات عن بعد، يجب إعداد العميل الذي يولد السجلات لإرسال مخرجات سجلات السجلات الخاصة به أو جزء منها إلى SKOOR Engine.
سيلوغ-نغ
مثال على تكوين مثال لـ syslog-ng بافتراض أن خادم SKOOR Engine لديه عنوان IP 10.1.1.76:
... destination loghost { udp("10.1.1.76" port(514)); }; log { source(src); destination(loghost); }; ...
rsyslog
مثال على تكوين مثال rsyslog بافتراض أن خادم SKOOR Engine لديه عنوان IP 10.1.1.76:
... *.* @10.1.1.76:514 (sends all syslog output to SKOOR) or cron.* @10.1.1.76:514 (sends only cron syslog output to SKOOR) or *.info @10.1.1.76:514 (sends only syslog output of severity info or higher to SKOOR) ...
ويندوز
لجعل جهاز Windows يرسل سجلات الأحداث الخاصة به، يمكن استخدام الأداة المساعدة Eventlog إلى Syslog evtsys من دليل أدوات Windows الخاص بتثبيت Windows على قرص Windows المضغوط.
مخرجات سجلات Syslog
تتم كتابة مخرجات سجلات Syslog التي يتلقاها البرنامج الخفي لـ rsyslog الخاص بمحرك SKOOR إلى ملفات، مفصولة حسب الخطورة، أسفل المسار التالي:
$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/ messages.csv_alert messages.csv_alert.1 messages.csv_alert.2 messages.csv_alert.3 messages.csv_alert.4 messages.csv_alert.5 messages.csv_alert.6 messages.csv_alert.7 messages.csv_alert.8 messages.csv_crit messages.csv_crit.1 messages.csv_crit.2 messages.csv_crit.3 messages.csv_crit.4 messages.csv_crit.5 messages.csv_crit.6 messages.csv_debug messages.csv_debug.1 messages.csv_debug.2 messages.csv_debug.3 messages.csv_debug.4 messages.csv_debug.5 messages.csv_debug.6 messages.csv_debug.7 messages.csv_debug.8 messages.csv_err messages.csv_err.1 messages.csv_err.2 messages.csv_err.3 messages.csv_err.4 messages.csv_info messages.csv_info.1 messages.csv_info.2 messages.csv_info.3 messages.csv_info.4 messages.csv_info.5 messages.csv_info.6 messages.csv_info.7 messages.csv_info.8 messages.csv_notice messages.csv_notice.1 messages.csv_notice.2 messages.csv_notice.3 messages.csv_notice.4 messages.csv_notice.5 messages.csv_notice.6 messages.csv_notice.7 messages.csv_notice.8 messages.csv_trap messages.csv_trap.1 messages.csv_trap.2 messages.csv_trap.3 messages.csv_trap.4 messages.csv_trap.5 messages.csv_trap.6 messages.csv_trap.7 messages.csv_trap.8 messages.csv_warning messages.csv_warning.1 messages.csv_warning.2 messages.csv_warning.3
مثال على إخراج محتويات ملف الرسائل يصف تنسيق مخرجات ملفات الرسائل الصادرة من المضيف المحلي لمحرك SKOOR:
20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]
يتم تعريف تنسيق ملفات الرسائل في تكوين ملف الرسائل في تكوين ملف الرسائل الخاص بمحرك SKOOR:
/etc/rsyslog.d/eranger-rsyslog.conf
تكوين التنسيق الافتراضي:
$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"
عرض سجل رسائل الجهاز
يمكن أيضًا عرض الإخراج أعلاه على كائن جهاز محرك SKOOR Engine نفسه باستخدام وظيفة إظهار سجل الرسائل من القائمة المنسدلة للجهاز.
إذا كان حقل عنوان الجهاز يحتوي على اسم المضيف أو عنوان IP الخاص بالجهاز كما يظهر في ملفات رسائل syslog، فسيتم عرض إخراج مدونة Syslog:
إذا لم يتم عرض أي شيء، فمن المحتمل أن اسم المضيف، كما يظهر في رسائل syslog، لا يتوافق مع محتويات حقل عنوان الجهاز. راجع القسممدونة بيانات الجهاز للحصول على تفاصيل حول كيفية تعيين اسم المضيف إلى حقل العنوان.
بشكل افتراضي، يتم فرز السجل حسب الطابع الزمني ويعرض مخرجات سجلات سجلات النظام اليوم. يوضح الشكل أعلاه إخراج التحذير مما يعني طباعة جميع الرسائل ذات الخطورة تحذير أو أعلى. للفرز العكسي، انقر على أحد رؤوس الأعمدة في جدول قائمة Syslog List. تمثل الألوان المختلفة شدة الرسائل المختلفة.
حدد النطاق الزمني لسجل رسائل Syslog
حدد النطاق الزمني الذي يجب عرضه:
حدد مستوى سجلات سجلات النظام
حدد مستوى خطورة الرسائل التي يجب عرضها:
في هذا المثال، يتم عرض رسائل المعلومات وما فوقها. يمكن تعيين المستوى الافتراضي بشكل فردي باستخدام خاصية مستوى Syslog Level في قائمة كائن الجهاز. انظر القسم التالي للحصول على أمثلة.
تعريف Syslog الجهاز
مصدر Syslog
إذا كان الجهاز لا يشير إلى نفسه باسم DNS الخاص به في حقل العنوان الخاص به، فيجب إضافة خاصية مصدر Syslog إلى كائن الجهاز مع اسم المضيف كقيمة:
لتلقي الرسائل لجميع الأجهزة التي ترسل سجلات Syslog الخاصة بها إلى SKOOR، أدخل * بدلاً من ذلك.
لتلقي الرسائل المسجلة إلى الملف (في حالة تكوين rsyslog للكتابة إلى ملف سجل مخصص، وهو غير موجود افتراضيًا)
/var/opt/run/eranger/collector/tmp/syslog/messages_SAN
والمنشأ من المضيف الذي يحمل عنوان IP 10.1.1.134، استخدم الإدخال التالي:
مستوى Syslog
أضف خاصية Syslog Level لتكوين مستوى الخطورة الافتراضي.
تحليل رسائل Syslog
لإصدار إنذارات استناداً إلى رسائل syslog، أضف وظيفة تحليل ملف جديد وحدد ملف syslog موجوداً كاسم الملف، على سبيل المثال syslog/messages.csv_err. يتم تخزين ملفات Syslog، عندما يتم تكوين rsyslog مع التكوين الافتراضي لمحرك SKOOR، في الموقع التالي:
/var/opt/run/eranger/collector/tmp/syslog/
يوضح الشكل أدناه مثالاً لتحليل الرسالة التالية لسلسلة فشل المحادثة.
20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed
تكوين الوظيفة باستخدام وضع syslog:
يمكن تعيين حدود التنبيه لإصدار إنذار رئيسي في حالة تسجيل السلسلة أكثر من 3 مرات خلال الوقت منذ آخر تشغيل للمهمة:
مخرجات المهمة في حالة وجود أكثر من 3 أسطر: