Verwendung SKOOR Engine als Syslog- Server

Syslog-Meldungen von internen oder externen Quellen können angezeigt werden. Der lokale rsyslog- Daemon kann so konfiguriert werden, dass eingehender Syslog-Verkehr zugelassen wird. Auf dem SKOOR Engine Host ist eine Vorlagenkonfigurationsdatei verfügbar. Die Konfiguration funktioniert unverändert, wenn sie in .conf umbenannt wird:

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

Starten Sie dann den Syslog-Dienst mit einem der folgenden Befehle neu:

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

Der SKOOR Engine Server überwacht nun den standardmäßigen UDP-Syslog-Port 514 auf eingehenden Syslog-Verkehr.

Syslog-Quellen

Um SKOOR Engine als Syslog- Server für Remote-Syslog-Clients zu verwenden, muss der protokollerzeugende Client so eingerichtet werden, dass er seine Syslog-Ausgabe oder einen Teil davon an SKOOR Engine sendet.

sylog-ng

syslog-ng-Beispielkonfiguration unter der Annahme, dass SKOOR Engine Server die IP-Adresse 10.1.1.76 hat:

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

rsyslog-Beispielkonfiguration unter der Annahme, dass SKOOR Engine Server die IP-Adresse 10.1.1.76 hat:

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

Damit ein Windows-Computer seine Ereignisprotokolle sendet, kann man das Eventlog-zu-Syslog-Dienstprogramm evtsys aus dem Windows- Tools- Verzeichnis der Windows-Installations-CD verwenden.

Syslog-Ausgabe

Die vom rsyslog-Daemon der SKOOR Engine empfangenen Syslog-Ausgaben werden nach Schweregrad getrennt in Dateien unter dem folgenden Pfad geschrieben:

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Eine Beispielausgabe des Inhalts der Nachrichtendatei beschreibt das Format der Syslog-Ausgabe, die vom lokalen Host der SKOOR Engine stammt:

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Das Format der Nachrichtendateien ist in der rsyslog-Konfiguration der SKOOR Engine definiert:

/etc/rsyslog.d/eranger-rsyslog.conf

Standardformatkonfiguration:

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Geräte-Syslog anzeigen

Die obige Ausgabe kann auch auf dem SKOOR Engine Geräteobjekt selbst angezeigt werden, indem Sie die Funktion „Syslog anzeigen“ aus der Dropdown-Liste des Geräts verwenden.

  Wenn das Adressfeld des Geräts den Hostnamen oder die IP-Adresse des Geräts enthält, wie sie in den Syslog-Meldungsdateien angezeigt wird, wird die Syslog-Ausgabe angezeigt:

Standardmäßig ist das Protokoll nach Zeitstempel sortiert und zeigt die heutige Syslog-Ausgabe an. Die obige Abbildung zeigt die Ausgabe für Warning , was bedeutet, dass alle Meldungen mit dem Schweregrad „ Warning oder höher gedruckt werden. Um die Sortierung umzukehren, klicken Sie auf eine der Spaltenüberschriften der Syslog- Listentabelle. Unterschiedliche Farben repräsentieren unterschiedliche Nachrichtenschweregrade.

Wählen Sie den Syslog-Zeitbereich aus

Wählen Sie den Zeitraum aus, der angezeigt werden soll:

Wählen Sie die Syslog-Ebene aus

Wählen Sie den Schweregrad der Meldungen aus, die angezeigt werden sollen:

In diesem Beispiel werden Infomeldungen und höher angezeigt. Die Standardebene kann individuell über die Eigenschaft „Syslog-Ebene“ im Menü des Geräteobjekts festgelegt werden. Beispiele finden Sie im nächsten Abschnitt.

Geräte-Syslog-Definition

Syslog-Quelle

Wenn das Gerät nicht mit seinem DNS-Namen in seinem Adressfeld auf sich selbst verweist, muss die Eigenschaft „Syslog-Quelle“ zum Objekt des Geräts mit dem Hostnamen als Wert hinzugefügt werden:

Um Nachrichten für alle Geräte zu erhalten, die ihr Syslog an SKOOR senden, geben Sie stattdessen * ein.
Um in der Datei protokollierte Nachrichten zu empfangen (falls rsyslog so konfiguriert ist, dass es in eine benutzerdefinierte Protokolldatei schreibt, die standardmäßig nicht vorhanden ist)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

und ausgehend vom Host mit der IP 10.1.1.134 verwenden Sie den folgenden Eintrag:

Syslog-Ebene

Fügen Sie die Eigenschaft „Syslog-Ebene“ hinzu, um den Standardschweregrad zu konfigurieren.

Syslog-Nachrichten analysieren

Um Alarme basierend auf Syslog-Meldungen auszugeben, fügen Sie einen neuen Parsefile-Job hinzu und wählen Sie eine vorhandene Syslog-Datei als Dateiname aus, z. B. syslog/messages.csv_err . Syslog-Dateien werden, wenn rsyslog mit der SKOOR Engine Standardkonfiguration konfiguriert ist, am folgenden Speicherort gespeichert:

/var/opt/run/eranger/collector/tmp/syslog/

Die folgende Abbildung zeigt ein Beispiel zum Parsen der folgenden Nachricht für die Zeichenfolge „conversation failed“.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Jobkonfiguration im Syslog-Modus:

Die Alarmgrenzen können so eingestellt werden, dass ein Major Alarm ausgegeben wird, wenn die Zeichenfolge seit der letzten Ausführung des Jobs mehr als dreimal protokolliert wurde:

Die Jobausgabe für den Fall, dass mehr als 3 Zeilen gefunden wurden: