SKOOR Engine als Syslog Server verwenden

Syslog-Nachrichten aus internen oder externen Quellen können angezeigt werden. Der lokale rsyslog-Daemon kann so konfiguriert werden, dass er eingehenden Syslog-Verkehr zulässt. Auf dem SKOOR Engine-Host ist eine Vorlagenkonfigurationsdatei verfügbar. Die Konfiguration funktioniert so, wie sie ist, wenn sie in .conf umbenannt wird:

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

Starten Sie dann den Syslog-Dienst mit einem der folgenden Befehle neu:

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

Der SKOOR Engine Server lauscht nun auf dem Standard UDP syslog port 514 auf eingehenden syslog Verkehr.

Syslog-Quellen

Um SKOOR Engine als Syslog Server für entfernte Syslog Clients zu verwenden, muss der log-erzeugende Client so eingerichtet werden, dass er seine Syslog-Ausgabe oder einen Teil davon an SKOOR Engine sendet.

sylog-ng

syslog-ng Beispielkonfiguration unter der Annahme, dass SKOOR Engine Server die IP-Adresse 10.1.1.76 hat:

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

rsyslog Beispielkonfiguration unter der Annahme, dass der SKOOR Engine Server die IP-Adresse 10.1.1.76 hat:

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

Um einen Windows-Rechner dazu zu bringen, seine Ereignisprotokolle zu senden, kann man das Eventlog to Syslog-Dienstprogramm evtsys aus dem Verzeichnis Windows Tools der Windows-Installations-CD verwenden .

Syslog-Ausgabe

Die vom rsyslog-Daemon der SKOOR Engine empfangenen Syslog-Ausgaben werden in Dateien geschrieben, die nach Schweregrad getrennt sind und unter dem folgenden Pfad liegen:

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Eine Beispielausgabe des Inhalts der Nachrichtendatei beschreibt das Format der Syslog-Ausgabe, die von der SKOOR Engine localhost stammt:

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Das Format der Meldungsdateien wird in der SKOOR Engine rsyslog-Konfiguration festgelegt:

/etc/rsyslog.d/eranger-rsyslog.conf

Standard Format Konfiguration:

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Anzeige des Geräte-Syslogs

Die obige Ausgabe kann auch auf dem SKOOR Engine Geräteobjekt selbstangezeigt werden , indem die Funktion Show Syslog aus der Dropdown-Liste des Geräts verwendet wird.

Wenn das Adressfeld des Geräts den Hostnamen oder die IP-Adresse des Geräts enthält, wie sie in den Syslog-Meldungsdateien erscheint, wird die Syslog-Ausgabe angezeigt:

Standardmäßig ist das Protokoll nach Zeitstempel sortiert und zeigt die heutige Syslog-Ausgabe an. Die obige Abbildung zeigt die Ausgabe für Warning, d. h. alle Meldungen mit einem Schweregrad von Warning oder höher werden gedruckt. Um die Sortierung umzukehren, klicken Sie auf eine der Spaltenüberschriften der Tabelle " Syslog-Liste". Unterschiedliche Farben stehen für unterschiedliche Meldungsschweregrade.

Syslog-Zeitbereich auswählen

Wählen Sie den Zeitbereich aus, der angezeigt werden soll:

Syslog-Level auswählen

Wählen Sie den Schweregrad der Meldungen, die angezeigt werden sollen:

In diesem Beispiel werden Meldungen ab dem Schweregrad "Info" angezeigt. Der Standardschweregrad kann über die Eigenschaft "Syslog-Level" im Menü "Geräteobjekt" individuell eingestellt werden. Beispiele finden Sie im nächsten Abschnitt.

Geräte-Syslog-Definition

Syslog-Quelle

Wenn das Gerät in seinem Adressfeld nicht mit seinem DNS-Namen auf sich selbst verweist, muss die Eigenschaft Syslog-Quelle zum Objekt des Geräts mit dem Hostnamen als Wert hinzugefügt werden:

Um Nachrichten für alle Geräte zu erhalten, die ihr Syslog an SKOOR senden, geben Sie stattdessen * ein.
Um Nachrichten zu erhalten, die in einer Datei protokolliert werden (falls rsyslog so konfiguriert ist, dass es in eine benutzerdefinierte Logdatei schreibt, die standardmäßig nicht existiert)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

und von dem Host mit der IP 10.1.1.134 stammen, verwenden Sie den folgenden Eintrag:

Syslog-Ebene

Fügen Sie die Eigenschaft Syslog Level hinzu, um den Standardschweregrad zu konfigurieren.

Parsen von Syslog-Nachrichten

Um Alarme auf der Grundlage von Syslog-Meldungen auszugeben, fügen Sie einen neuen parsefile-Job hinzu und wählen Sie eine vorhandene Syslog-Datei als Dateiname, z. B. syslog/messages.csv_err. Wenn rsyslog mit der Standardkonfiguration der SKOOR Engine konfiguriert ist, werden die Syslog-Dateien an folgendem Ort gespeichert:

/var/opt/run/eranger/collector/tmp/syslog/

Die folgende Abbildung zeigt ein Beispiel für das Parsen der folgenden Nachricht für die Zeichenfolge conversation failed.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Auftragskonfiguration im Syslog-Modus:

Die Alarm Limits können so eingestellt werden, dass ein Major Alarm ausgelöst wird, wenn die Zeichenkette seit der letzten Ausführung des Jobs mehr als dreimal protokolliert wurde:

Die Ausgabe des Jobs, wenn mehr als 3 Zeilen gefunden wurden: