Verwendung SKOOR Engine als Syslog- Server

Syslog-Meldungen aus internen oder externen Quellen können angezeigt werden. Der lokale rsyslog- Daemon kann so konfiguriert werden, dass er eingehenden Syslog-Datenverkehr zulässt. Auf dem SKOOR Engine Host ist eine Vorlagenkonfigurationsdatei verfügbar. Die Konfiguration funktioniert unverändert, wenn sie in .conf umbenannt wird:

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

Starten Sie dann den Syslog-Dienst mit einem der folgenden Befehle neu:

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

Der SKOOR Engine Server lauscht jetzt auf dem standardmäßigen UDP-Syslog-Port 514 auf eingehenden Syslog-Datenverkehr.

Syslog-Quellen

Um SKOOR Engine als Syslog- Server für Remote-Syslog-Clients zu verwenden, muss der protokollerzeugende Client so eingerichtet werden, dass er seine Syslog-Ausgabe oder einen Teil davon an SKOOR Engine .

sylog-ng

syslog-ng Beispielkonfiguration unter der Annahme, dass der SKOOR Engine Server die IP-Adresse 10.1.1.76 hat:

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

rsyslog Beispielkonfiguration unter der Annahme, dass der SKOOR Engine Server die IP-Adresse 10.1.1.76 hat:

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

Damit ein Windows-Rechner seine Ereignisprotokolle sendet, kann man das Dienstprogramm Eventlog to Syslog evtsys aus dem Windows Tools -Verzeichnis der Windows-Installations-CD verwenden.

Syslog-Ausgabe

Die vom rsyslog-Daemon der SKOOR Engine empfangene Syslog-Ausgabe wird nach Schweregrad getrennt in Dateien unterhalb des folgenden Pfads geschrieben:

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Eine Beispielausgabe des Inhalts der Nachrichtendatei beschreibt das Format der Syslog-Ausgabe, die vom lokalen Host der SKOOR Engine stammt:

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Das Format der Nachrichtendateien wird in der rsyslog-Konfiguration der SKOOR Engine definiert:

/etc/rsyslog.d/eranger-rsyslog.conf

Konfiguration des Standardformats:

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Geräte-Syslog anzeigen

Die obige Ausgabe kann auch auf dem SKOOR Engine -Geräteobjekt selbst angezeigt werden, indem die Show Syslog -Funktion aus der Dropdown-Liste des Geräts verwendet wird.

  Wenn das Adressfeld des Geräts den Hostnamen oder die IP-Adresse des Geräts enthält, wie sie in den Syslog-Meldungsdateien angezeigt wird, wird die Syslog-Ausgabe angezeigt:

Standardmäßig ist das Protokoll nach Zeitstempel sortiert und zeigt die heutige Syslog-Ausgabe. Die obige Abbildung zeigt die Ausgabe für Warning , was bedeutet, dass alle Meldungen mit einem Schweregrad von Warning oder höher gedruckt werden. Um die Sortierung umzukehren, klicken Sie auf eine der Spaltenüberschriften der Syslog -Listentabelle. Unterschiedliche Farben repräsentieren unterschiedliche Schweregrade von Nachrichten.

Wählen Sie den Syslog-Zeitbereich aus

Wählen Sie den Zeitbereich aus, der angezeigt werden soll:

Wählen Sie die Syslog-Ebene aus

Wählen Sie den Schweregrad der Meldungen aus, die angezeigt werden sollen:

In diesem Beispiel werden Info- Meldungen und höher angezeigt. Die Standardstufe kann individuell mit der Eigenschaft Syslog Level im Geräteobjektmenü eingestellt werden. Beispiele finden Sie im nächsten Abschnitt.

Geräte-Syslog-Definition

Syslog-Quelle

Wenn das Gerät nicht mit seinem DNS-Namen in seinem Adressfeld auf sich selbst verweist, muss die Eigenschaft Syslog-Quelle zum Objekt des Geräts mit dem Hostnamen als Wert hinzugefügt werden:

Um Nachrichten für alle Geräte zu erhalten, die ihr Syslog an SKOOR senden, geben Sie stattdessen * ein.
Um in der Datei protokollierte Nachrichten zu empfangen (falls rsyslog so konfiguriert ist, dass es in eine benutzerdefinierte Protokolldatei schreibt, die standardmäßig nicht vorhanden ist)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

und ausgehend vom Host mit der IP 10.1.1.134, verwenden Sie folgenden Eintrag:

Syslog-Ebene

Fügen Sie die Eigenschaft „Syslog-Ebene“ hinzu , um den Standardschweregrad zu konfigurieren.

Analysieren Sie Syslog-Meldungen

Um Alarme basierend auf Syslog-Meldungen auszugeben, fügen Sie einen neuen Parsefile-Job hinzu und wählen Sie als Dateiname eine vorhandene Syslog-Datei aus, z. B. syslog/messages.csv_err . Syslog-Dateien werden, wenn rsyslog mit der Standardkonfiguration der SKOOR Engine konfiguriert ist, an folgendem Speicherort gespeichert:

/var/opt/run/eranger/collector/tmp/syslog/

Die folgende Abbildung zeigt ein Beispiel zum Analysieren der folgenden Nachricht für die fehlgeschlagene Zeichenfolgenkonversation.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Jobkonfiguration im Syslog-Modus:

Die Major können so eingestellt werden, dass ein schwerwiegender Alarm ausgegeben wird, wenn die Zeichenfolge seit der letzten Ausführung des Jobs mehr als dreimal protokolliert wurde:

Die Jobausgabe, falls mehr als 3 Zeilen gefunden wurden: