استخدام محرك SKOOR كخادم لسجل النظام

يمكن عرض رسائل Syslog من مصادر داخلية أو خارجية. يمكن تهيئة البرنامج الخفي rsyslog المحلي للسماح بتمرير رسائل syslog الواردة. يتوفر ملف تكوين قالب على مضيف SKOOR Engine. سيعمل التكوين كما هو إذا تمت إعادة تسميته إلى .conf:

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

ثم أعد تشغيل خدمة syslog باستخدام أحد الأوامر التالية:

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

سيقوم خادم SKOOR Engine الآن بالاستماع على منفذ UDP syslog الافتراضي UDP 514 لمرور سجلات الرسائل الواردة.

مصادر سجلات Syslog

لاستخدام محرك SKOOR Engine كخادم لسجل السجلات لعملاء سجلات السجلات عن بعد، يجب إعداد العميل الذي يولد السجلات لإرسال مخرجات سجلات السجلات الخاصة به أو جزء منها إلى SKOOR Engine.

سيلوغ-نغ

مثال على تكوين مثال لـ syslog-ng بافتراض أن خادم SKOOR Engine لديه عنوان IP 10.1.1.76:

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

مثال على تكوين مثال rsyslog بافتراض أن خادم SKOOR Engine لديه عنوان IP 10.1.1.76:

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

ويندوز

لجعل جهاز Windows يرسل سجلات الأحداث الخاصة به، يمكن استخدام الأداة المساعدة Eventlog إلى Syslog evtsys من دليل أدوات Windows الخاص بتثبيت Windows على قرص Windows المضغوط.

مخرجات سجلات Syslog

تتم كتابة مخرجات سجلات Syslog التي يتلقاها البرنامج الخفي لـ rsyslog الخاص بمحرك SKOOR إلى ملفات، مفصولة حسب الخطورة، أسفل المسار التالي:

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

مثال على إخراج محتويات ملف الرسائل يصف تنسيق مخرجات ملفات الرسائل الصادرة من المضيف المحلي لمحرك SKOOR:

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

يتم تعريف تنسيق ملفات الرسائل في تكوين ملف الرسائل في تكوين ملف الرسائل الخاص بمحرك SKOOR:

/etc/rsyslog.d/eranger-rsyslog.conf

تكوين التنسيق الافتراضي:

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

عرض سجل رسائل الجهاز

يمكن أيضًا عرض الإخراج أعلاه على كائن جهاز محرك SKOOR Engine نفسه باستخدام وظيفة إظهار سجل الرسائل من القائمة المنسدلة للجهاز.

إذا كان حقل عنوان الجهاز يحتوي على اسم المضيف أو عنوان IP الخاص بالجهاز كما يظهر في ملفات رسائل syslog، فسيتم عرض إخراج مدونة Syslog:

بشكل افتراضي، يتم فرز السجل حسب الطابع الزمني ويعرض مخرجات سجلات سجلات النظام اليوم. يوضح الشكل أعلاه إخراج التحذير مما يعني طباعة جميع الرسائل ذات الخطورة تحذير أو أعلى. للفرز العكسي، انقر على أحد رؤوس الأعمدة في جدول قائمة Syslog List. تمثل الألوان المختلفة شدة الرسائل المختلفة.

حدد النطاق الزمني لسجل رسائل Syslog

حدد النطاق الزمني الذي يجب عرضه:

حدد مستوى سجلات سجلات النظام

حدد مستوى خطورة الرسائل التي يجب عرضها:

في هذا المثال، يتم عرض رسائل المعلومات وما فوقها. يمكن تعيين المستوى الافتراضي بشكل فردي باستخدام خاصية مستوى Syslog Level في قائمة كائن الجهاز. انظر القسم التالي للحصول على أمثلة.

تعريف Syslog الجهاز

مصدر Syslog

إذا كان الجهاز لا يشير إلى نفسه باسم DNS الخاص به في حقل العنوان الخاص به، فيجب إضافة خاصية مصدر Syslog إلى كائن الجهاز مع اسم المضيف كقيمة:

لتلقي الرسائل لجميع الأجهزة التي ترسل سجلات Syslog الخاصة بها إلى SKOOR، أدخل * بدلاً من ذلك.
لتلقي الرسائل المسجلة إلى الملف (في حالة تكوين rsyslog للكتابة إلى ملف سجل مخصص، وهو غير موجود افتراضيًا)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

والمنشأ من المضيف الذي يحمل عنوان IP 10.1.1.134، استخدم الإدخال التالي:

مستوى Syslog

أضف خاصية Syslog Level لتكوين مستوى الخطورة الافتراضي.

تحليل رسائل Syslog

لإصدار إنذارات استناداً إلى رسائل syslog، أضف وظيفة تحليل ملف جديد وحدد ملف syslog موجوداً كاسم الملف، على سبيل المثال syslog/messages.csv_err. يتم تخزين ملفات Syslog، عندما يتم تكوين rsyslog مع التكوين الافتراضي لمحرك SKOOR، في الموقع التالي:

/var/opt/run/eranger/collector/tmp/syslog/

يوضح الشكل أدناه مثالاً لتحليل الرسالة التالية لسلسلة فشل المحادثة.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

تكوين الوظيفة باستخدام وضع syslog:

يمكن تعيين حدود التنبيه لإصدار إنذار رئيسي في حالة تسجيل السلسلة أكثر من 3 مرات خلال الوقت منذ آخر تشغيل للمهمة:

مخرجات المهمة في حالة وجود أكثر من 3 أسطر: