Dokumentation

Syslog anzeigen

Verwendung von SKOOR Engine als Syslog-Server

Syslog-Meldungen aus internen oder externen Quellen können angezeigt werden. Der lokale rsyslog-Daemon kann so konfiguriert werden, dass eingehender Syslog-Datenverkehr zugelassen wird. Eine Vorlage für die Konfigurationsdatei ist auf dem SKOOR Engine-Host verfügbar. Die Konfiguration funktioniert unverändert, wenn sie in .conf umbenannt wird:

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

Starten Sie dann den Syslog-Dienst mit einem der folgenden Befehle neu:

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

 

Der SKOOR Engine-Server überwacht nun den standardmäßigen UDP-Syslog-Port 514 auf eingehenden Syslog-Datenverkehr.

Syslog-Quellen

Um SKOOR Engine als Syslog-Server für Remote-Syslog-Clients zu verwenden, muss der loggenerierende Client so eingerichtet werden, dass er seine Syslog-Ausgabe oder einen Teil davon an SKOOR Engine sendet.

sylog-ng

Beispielkonfiguration für syslog-ng unter der Annahme, dass der SKOOR Engine-Server die IP-Adresse 10.1.1.76 hat:

syslog-ng.conf
...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

Beispielkonfiguration für rsyslog unter der Annahme, dass der SKOOR Engine-Server die IP-Adresse 10.1.1.76 hat:

rsyslog.conf
...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

Um die Ereignisprotokolle eines Windows-Computers zu senden, kann das Dienstprogramm „Eventlog to Syslog“ (evtsys) aus dem Verzeichnis „Windows Tools“ auf der Windows-Installations-CD verwendet werden.

Syslog-Ausgabe

Die vom rsyslog-Daemon der SKOOR Engine empfangene Syslog-Ausgabe wird in Dateien geschrieben, die nach Schweregrad getrennt sind, unter dem folgenden Pfad:

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Ein Beispiel für den Inhalt der Meldungsdatei beschreibt das Format der Syslog-Ausgabe, die vom lokalen Host der SKOOR Engine stammt:

messages.csv_crit
20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Das Format der Meldungsdateien ist in der rsyslog-Konfiguration der SKOOR Engine definiert:

/etc/rsyslog.d/eranger-rsyslog.conf

Standardformatkonfiguration:

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Anzeigegerät Syslog

Die obige Ausgabe kann auch auf dem SKOOR Engine-Geräteobjekt selbst angezeigt werden, indem Sie die Funktion „Syslog anzeigen” aus der Dropdown-Liste des Geräts verwenden.

 Wenn das Adressfeld des Geräts den Hostnamen oder die IP-Adresse des Geräts enthält, wie sie in den Syslog-Meldungsdateien angezeigt werden, wird die Syslog-Ausgabe angezeigt:

Wenn nichts angezeigt wird, entspricht der Hostname, wie er in den Syslog-Meldungen erscheint, wahrscheinlich nicht dem Inhalt des Adressfelds des Geräts. Weitere Informationen zum Zuordnen des Hostnamens zum Adressfeld finden Sie im Abschnitt „Geräte-Syslog“.

Standardmäßig ist das Protokoll nach Zeitstempel sortiert und zeigt die heutige Syslog-Ausgabe an. Die obige Abbildung zeigt die Ausgabe für „Warning“, was bedeutet, dass alle Meldungen mit dem Schweregrad „Warningoder höher ausgegeben werden. Um die Sortierung umzukehren, klicken Sie auf eine der Spaltenüberschriften der Tabelle „Syslog-Liste“. Verschiedene Farben stehen für unterschiedliche Schweregrade der Meldungen.

Wählen Sie den Syslog-Zeitbereich aus

Wählen Sie den anzuzeigenden Zeitbereich aus:

Wählen Sie die Syslog-Stufe

Wählen Sie die Schweregradstufe der anzuzeigenden Meldungen aus:

In diesem Beispiel werden Info-Meldungen und höher angezeigt. Die Standardstufe kann individuell über die Eigenschaft „Syslog-Stufe“ im Menü des Geräteobjekts festgelegt werden. Beispiele finden Sie im nächsten Abschnitt.

Geräte-Syslog-Definition

Syslog-Quelle

Wenn das Gerät in seinem Adressfeld nicht mit seinem DNS-Namen auf sich selbst verweist, muss die Eigenschaft „Syslog-Quelle“ zum Geräteobjekt mit dem Hostnamen als Wert hinzugefügt werden:

Um Meldungen für alle Geräte zu erhalten, die ihr Syslog an SKOOR senden, geben Sie stattdessen * ein.
Um Meldungen zu erhalten, die in der Datei protokolliert sind (falls rsyslog so konfiguriert ist, dass es in eine benutzerdefinierte Protokolldatei schreibt, die standardmäßig nicht vorhanden ist)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

und die von dem Host mit der IP-Adresse 10.1.1.134 stammen, verwenden Sie den folgenden Eintrag:

Syslog-Level

Fügen Sie die Eigenschaft „Syslog-Level” hinzu, um die Standard-Schweregradstufe zu konfigurieren.

Syslog-Meldungen analysieren

Um Alarme basierend auf Syslog-Meldungen auszugeben, fügen Sie einen neuen Parsefile-Job hinzu und wählen Sie eine vorhandene Syslog-Datei als Dateinamen aus, z. B. syslog/messages.csv_err. Syslog-Dateien werden, wenn rsyslog mit der Standardkonfiguration der SKOOR Engine konfiguriert ist, an folgendem Speicherort gespeichert:

/var/opt/run/eranger/collector/tmp/syslog/

Die folgende Abbildung zeigt ein Beispiel für die Analyse der folgenden Meldung für die Zeichenfolge „conversation failed“.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Jobkonfiguration im Syslog-Modus:

Die Alarm Limits können so eingestellt werden, dass ein Major-Alarm ausgelöst wird, wenn die Zeichenfolge seit der letzten Ausführung des Jobs mehr als dreimal protokolliert wurde:

Die Job-Ausgabe für den Fall, dass mehr als 3 Zeilen gefunden wurden:

 

Zurück
Changelog anzeigen
Weiter
Status-Statistiken anzeigen