Syslog anzeigen
Verwendung SKOOR Engine als Syslog- Server
Syslog-Meldungen aus internen oder externen Quellen können angezeigt werden. Der lokale rsyslog- Daemon kann so konfiguriert werden, dass er eingehenden Syslog-Datenverkehr zulässt. Auf dem SKOOR Engine Host ist eine Vorlagenkonfigurationsdatei verfügbar. Die Konfiguration funktioniert unverändert, wenn sie in .conf umbenannt wird:
# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf # service rsyslog restart (Redhat 6) or # systemctl restart rsyslog.service (Redhat 7)
Starten Sie dann den Syslog-Dienst mit einem der folgenden Befehle neu:
# service rsyslog restart (Redhat 6) # systemctl restart rsyslog.service (Redhat 7)
Der SKOOR Engine Server lauscht jetzt auf dem standardmäßigen UDP-Syslog-Port 514 auf eingehenden Syslog-Datenverkehr.
Syslog-Quellen
Um SKOOR Engine als Syslog- Server für Remote-Syslog-Clients zu verwenden, muss der protokollerzeugende Client so eingerichtet werden, dass er seine Syslog-Ausgabe oder einen Teil davon an SKOOR Engine .
sylog-ng
syslog-ng Beispielkonfiguration unter der Annahme, dass der SKOOR Engine Server die IP-Adresse 10.1.1.76 hat:
... destination loghost { udp("10.1.1.76" port(514)); }; log { source(src); destination(loghost); }; ...
rsyslog
rsyslog Beispielkonfiguration unter der Annahme, dass der SKOOR Engine Server die IP-Adresse 10.1.1.76 hat:
... *.* @10.1.1.76:514 (sends all syslog output to SKOOR) or cron.* @10.1.1.76:514 (sends only cron syslog output to SKOOR) or *.info @10.1.1.76:514 (sends only syslog output of severity info or higher to SKOOR) ...
Windows
Damit ein Windows-Rechner seine Ereignisprotokolle sendet, kann man das Dienstprogramm Eventlog to Syslog evtsys aus dem Windows Tools -Verzeichnis der Windows-Installations-CD verwenden.
Syslog-Ausgabe
Die vom rsyslog-Daemon der SKOOR Engine empfangene Syslog-Ausgabe wird nach Schweregrad getrennt in Dateien unterhalb des folgenden Pfads geschrieben:
$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/ messages.csv_alert messages.csv_alert.1 messages.csv_alert.2 messages.csv_alert.3 messages.csv_alert.4 messages.csv_alert.5 messages.csv_alert.6 messages.csv_alert.7 messages.csv_alert.8 messages.csv_crit messages.csv_crit.1 messages.csv_crit.2 messages.csv_crit.3 messages.csv_crit.4 messages.csv_crit.5 messages.csv_crit.6 messages.csv_debug messages.csv_debug.1 messages.csv_debug.2 messages.csv_debug.3 messages.csv_debug.4 messages.csv_debug.5 messages.csv_debug.6 messages.csv_debug.7 messages.csv_debug.8 messages.csv_err messages.csv_err.1 messages.csv_err.2 messages.csv_err.3 messages.csv_err.4 messages.csv_info messages.csv_info.1 messages.csv_info.2 messages.csv_info.3 messages.csv_info.4 messages.csv_info.5 messages.csv_info.6 messages.csv_info.7 messages.csv_info.8 messages.csv_notice messages.csv_notice.1 messages.csv_notice.2 messages.csv_notice.3 messages.csv_notice.4 messages.csv_notice.5 messages.csv_notice.6 messages.csv_notice.7 messages.csv_notice.8 messages.csv_trap messages.csv_trap.1 messages.csv_trap.2 messages.csv_trap.3 messages.csv_trap.4 messages.csv_trap.5 messages.csv_trap.6 messages.csv_trap.7 messages.csv_trap.8 messages.csv_warning messages.csv_warning.1 messages.csv_warning.2 messages.csv_warning.3
Eine Beispielausgabe des Inhalts der Nachrichtendatei beschreibt das Format der Syslog-Ausgabe, die vom lokalen Host der SKOOR Engine stammt:
20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]
Das Format der Nachrichtendateien wird in der rsyslog-Konfiguration der SKOOR Engine definiert:
/etc/rsyslog.d/eranger-rsyslog.conf
Konfiguration des Standardformats:
$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"
Geräte-Syslog anzeigen
Die obige Ausgabe kann auch auf dem SKOOR Engine -Geräteobjekt selbst angezeigt werden, indem die Show Syslog -Funktion aus der Dropdown-Liste des Geräts verwendet wird.
Wenn das Adressfeld des Geräts den Hostnamen oder die IP-Adresse des Geräts enthält, wie sie in den Syslog-Meldungsdateien angezeigt wird, wird die Syslog-Ausgabe angezeigt:
Wenn nichts angezeigt wird, entspricht der Hostname, wie er in den Syslog-Meldungen erscheint, wahrscheinlich nicht dem Inhalt des Adressfelds des Geräts. Siehe Sektion Geräte-Syslog für Details zum Zuordnen des Hostnamens zum Adressfeld .
Standardmäßig ist das Protokoll nach Zeitstempel sortiert und zeigt die heutige Syslog-Ausgabe. Die obige Abbildung zeigt die Ausgabe für Warning , was bedeutet, dass alle Meldungen mit einem Schweregrad von Warning oder höher gedruckt werden. Um die Sortierung umzukehren, klicken Sie auf eine der Spaltenüberschriften der Syslog -Listentabelle. Unterschiedliche Farben repräsentieren unterschiedliche Schweregrade von Nachrichten.
Wählen Sie den Syslog-Zeitbereich aus
Wählen Sie den Zeitbereich aus, der angezeigt werden soll:
Wählen Sie die Syslog-Ebene aus
Wählen Sie den Schweregrad der Meldungen aus, die angezeigt werden sollen:
In diesem Beispiel werden Info- Meldungen und höher angezeigt. Die Standardstufe kann individuell mit der Eigenschaft Syslog Level im Geräteobjektmenü eingestellt werden. Beispiele finden Sie im nächsten Abschnitt.
Geräte-Syslog-Definition
Syslog-Quelle
Wenn das Gerät nicht mit seinem DNS-Namen in seinem Adressfeld auf sich selbst verweist, muss die Eigenschaft Syslog-Quelle zum Objekt des Geräts mit dem Hostnamen als Wert hinzugefügt werden:
Um Nachrichten für alle Geräte zu erhalten, die ihr Syslog an SKOOR senden, geben Sie stattdessen * ein.
Um in der Datei protokollierte Nachrichten zu empfangen (falls rsyslog so konfiguriert ist, dass es in eine benutzerdefinierte Protokolldatei schreibt, die standardmäßig nicht vorhanden ist)
/var/opt/run/eranger/collector/tmp/syslog/messages_SAN
und ausgehend vom Host mit der IP 10.1.1.134, verwenden Sie folgenden Eintrag:
Syslog-Ebene
Fügen Sie die Eigenschaft „Syslog-Ebene“ hinzu , um den Standardschweregrad zu konfigurieren.
Analysieren Sie Syslog-Meldungen
Um Alarme basierend auf Syslog-Meldungen auszugeben, fügen Sie einen neuen Parsefile-Job hinzu und wählen Sie als Dateiname eine vorhandene Syslog-Datei aus, z. B. syslog/messages.csv_err . Syslog-Dateien werden, wenn rsyslog mit der Standardkonfiguration der SKOOR Engine konfiguriert ist, an folgendem Speicherort gespeichert:
/var/opt/run/eranger/collector/tmp/syslog/
Die folgende Abbildung zeigt ein Beispiel zum Analysieren der folgenden Nachricht für die fehlgeschlagene Zeichenfolgenkonversation.
20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed
Jobkonfiguration im Syslog-Modus:
Die Major können so eingestellt werden, dass ein schwerwiegender Alarm ausgegeben wird, wenn die Zeichenfolge seit der letzten Ausführung des Jobs mehr als dreimal protokolliert wurde:
Die Jobausgabe, falls mehr als 3 Zeilen gefunden wurden: