استخدام محرك SKOOR كخادم syslog

يمكن عرض رسائل syslog من مصادر داخلية أو خارجية. يمكن تكوين برنامج rsyslog المحلي للسماح بحركة مرور syslog الواردة. يتوفر ملف تكوين نموذجي على مضيف محرك SKOOR. سيعمل التكوين كما هو إذا تمت إعادة تسميته إلى .conf:

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

ثم أعد تشغيل خدمة syslog باستخدام أحد الأوامر التالية:

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

سيقوم خادم محرك SKOOR الآن بالاستماع إلى منفذ syslog UDP الافتراضي 514 لحركة مرور syslog الواردة.

مصادر syslog

لاستخدام SKOOR Engine كخادم syslog لعملاء syslog عن بُعد، يجب إعداد العميل الذي يقوم بإنشاء السجلات لإرسال مخرجات syslog أو جزء منها إلى SKOOR Engine.

sylog-ng

مثال على تكوين syslog-ng بافتراض أن خادم SKOOR Engine له عنوان IP 10.1.1.76:

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

مثال على تكوين rsyslog بافتراض أن خادم SKOOR Engine له عنوان IP 10.1.1.76:

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

لجعل جهاز Windows يرسل سجلات الأحداث الخاصة به، يمكن استخدام الأداة المساعدة Eventlog to Syslog evtsys من دليل Windows Tools في قرص التثبيت Windows.

إخراج Syslog

يتم كتابة إخراج syslog الذي يتلقاه برنامج rsyslog التابع لـ SKOOR Engine في ملفات، مفصولة حسب درجة الخطورة، أسفل المسار التالي:

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

يصف مثال إخراج محتويات ملف الرسائل تنسيق إخراج syslog الناشئ من SKOOR Engine localhost:

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

يتم تحديد تنسيق ملفات الرسائل في تكوين rsyslog لمحرك SKOOR:

/etc/rsyslog.d/eranger-rsyslog.conf

تكوين التنسيق الافتراضي:

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

عرض syslog الجهاز

يمكن أيضًا عرض الإخراج أعلاه على كائن جهاز محرك SKOOR نفسه باستخدام وظيفة Show Syslog (عرض سجل النظام) من القائمة المنسدلة للجهاز.

 إذا كان حقل عنوان الجهاز يحتوي على اسم مضيف الجهاز أو عنوان IP كما يظهر في ملفات رسائل syslog، فسيتم عرض إخراج syslog:

بشكل افتراضي، يتم فرز السجل حسب الطابع الزمني ويعرض إخراج syslog لليوم. يوضح الشكل أعلاه إخراج التحذير، مما يعني طباعة جميع الرسائل ذات درجة خطورة تحذير أو أعلى. لعكس الترتيب، انقر فوق أحد عناوين أعمدة جدول قائمة Syslog. تمثل الألوان المختلفة درجات خطورة الرسائل المختلفة.

تحديد نطاق زمني لسجل النظام

حدد النطاق الزمني الذي يجب عرضه:

حدد مستوى syslog

حدد مستوى خطورة الرسائل التي يجب عرضها:

في هذا المثال، يتم عرض رسائل Info وما فوقها. يمكن تعيين المستوى الافتراضي بشكل فردي باستخدام خاصية مستوى syslog في قائمة كائن الجهاز. انظر القسم التالي للحصول على أمثلة.

تعريف syslog للجهاز

مصدر syslog

إذا كان الجهاز لا يشير إلى نفسه باسم DNS في حقل العنوان الخاص به، فيجب إضافة خاصية مصدر سجل النظام إلى كائن الجهاز مع اسم المضيف كقيمة:

لتلقي رسائل لجميع الأجهزة التي ترسل syslog إلى SKOOR، أدخل * بدلاً من ذلك.
لتلقي الرسائل المسجلة في الملف (في حالة تكوين rsyslog للكتابة إلى ملف سجل مخصص، والذي لا يوجد بشكل افتراضي)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

والتي تنشأ من المضيف الذي يحمل عنوان IP 10.1.1.134، استخدم الإدخال التالي:

مستوى Syslog

أضف خاصية مستوى سجل النظام لتكوين مستوى الخطورة الافتراضي.

تحليل رسائل syslog

لإصدار إنذارات بناءً على رسائل syslog، أضف مهمة ملف تحليل جديدة وحدد ملف syslog موجود كاسم ملف، على سبيل المثال syslog/messages.csv_err. يتم تخزين ملفات syslog، عندما يتم تكوين rsyslog باستخدام التكوين الافتراضي لمحرك SKOOR، في الموقع التالي:

/var/opt/run/eranger/collector/tmp/syslog/

يوضح الشكل أدناه مثالاً لتحليل الرسالة التالية للسلسلة فشل المحادثة.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

تكوين المهمة باستخدام وضع syslog:

يمكن تعيين حدود الإنذار لإصدار إنذار رئيسي إذا تم تسجيل السلسلة أكثر من 3 مرات خلال الفترة الزمنية منذ آخر تشغيل للمهمة:

ناتج المهمة في حالة العثور على أكثر من 3 أسطر: