Afficher le journal système
Utiliser SKOOR Engine comme server Syslog
Les messages Syslog provenant de sources internes ou externes peuvent être affichés. Le démon rsyslog local peut être configuré pour autoriser le trafic syslog entrant. Un fichier de configuration de modèle est disponible sur l'hôte SKOOR Engine . La configuration fonctionnera telle quelle si elle est renommée en .conf :
# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf # service rsyslog restart (Redhat 6) or # systemctl restart rsyslog.service (Redhat 7)
puis redémarrez le service syslog à l'aide de l'une des commandes suivantes :
# service rsyslog restart (Redhat 6) # systemctl restart rsyslog.service (Redhat 7)
Le server SKOOR Engine écoutera désormais sur le port syslog UDP 514 par défaut le trafic syslog entrant.
Sources Syslog
Pour utiliser SKOOR Engine comme server Syslog pour les clients Syslog distants, le client générateur de journaux doit être configuré pour envoyer sa sortie Syslog ou une partie de celle-ci à SKOOR Engine .
sylog-ng
Exemple de configuration syslog-ng en supposant que server SKOOR Engine a l'adresse IP 10.1.1.76 :
... destination loghost { udp("10.1.1.76" port(514)); }; log { source(src); destination(loghost); }; ...
rsyslog
Exemple de configuration rsyslog en supposant que server SKOOR Engine a l'adresse IP 10.1.1.76 :
... *.* @10.1.1.76:514 (sends all syslog output to SKOOR) or cron.* @10.1.1.76:514 (sends only cron syslog output to SKOOR) or *.info @10.1.1.76:514 (sends only syslog output of severity info or higher to SKOOR) ...
les fenêtres
Pour qu'une machine Windows envoie ses journaux d'événements, vous pouvez utiliser l'utilitaire Eventlog to Syslog evtsys à partir du répertoire Windows Tools du CD d'installation de Windows.
Sortie Syslog
La sortie syslog reçue par le démon rsyslog du SKOOR Engine est écrite dans des fichiers, séparés par gravité, sous le chemin suivant :
$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/ messages.csv_alert messages.csv_alert.1 messages.csv_alert.2 messages.csv_alert.3 messages.csv_alert.4 messages.csv_alert.5 messages.csv_alert.6 messages.csv_alert.7 messages.csv_alert.8 messages.csv_crit messages.csv_crit.1 messages.csv_crit.2 messages.csv_crit.3 messages.csv_crit.4 messages.csv_crit.5 messages.csv_crit.6 messages.csv_debug messages.csv_debug.1 messages.csv_debug.2 messages.csv_debug.3 messages.csv_debug.4 messages.csv_debug.5 messages.csv_debug.6 messages.csv_debug.7 messages.csv_debug.8 messages.csv_err messages.csv_err.1 messages.csv_err.2 messages.csv_err.3 messages.csv_err.4 messages.csv_info messages.csv_info.1 messages.csv_info.2 messages.csv_info.3 messages.csv_info.4 messages.csv_info.5 messages.csv_info.6 messages.csv_info.7 messages.csv_info.8 messages.csv_notice messages.csv_notice.1 messages.csv_notice.2 messages.csv_notice.3 messages.csv_notice.4 messages.csv_notice.5 messages.csv_notice.6 messages.csv_notice.7 messages.csv_notice.8 messages.csv_trap messages.csv_trap.1 messages.csv_trap.2 messages.csv_trap.3 messages.csv_trap.4 messages.csv_trap.5 messages.csv_trap.6 messages.csv_trap.7 messages.csv_trap.8 messages.csv_warning messages.csv_warning.1 messages.csv_warning.2 messages.csv_warning.3
Un exemple de sortie du contenu du fichier de messages décrit le format de la sortie syslog provenant de l'hôte local SKOOR Engine :
20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]
Le format des fichiers de messages est défini dans la configuration rsyslog SKOOR Engine :
/etc/rsyslog.d/eranger-rsyslog.conf
Configuration du format par défaut :
$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"
Afficher le journal système du périphérique
La sortie ci-dessus peut également être visualisée sur l' objet périphérique SKOOR Engine lui-même à l'aide de la fonction Afficher Syslog dans la liste déroulante du périphérique.
Si le champ d'adresse du périphérique contient le nom d'hôte ou l'adresse IP du périphérique tel qu'il apparaît dans les fichiers de messages Syslog, la sortie Syslog s'affiche :
Si rien ne s'affiche, alors le nom d'hôte, tel qu'il apparaît dans les messages Syslog, ne correspond probablement pas au contenu du champ d'adresse du périphérique. Voir section Device Syslog pour plus de détails sur la façon de mapper le nom d’hôte au champ d’adresse .
Par défaut, le journal est trié par horodatage et affiche la sortie syslog du jour. La figure ci-dessus montre la sortie pour Warning , ce qui signifie que tous les messages avec une gravité d' Warning ou supérieure sont imprimés. Pour inverser le tri, cliquez sur l'un des en-têtes de colonne du tableau Syslog List . Différentes couleurs représentent différentes gravités de message.
Sélectionnez la plage horaire Syslog
Sélectionnez la plage horaire qui doit être affichée :
Sélectionnez le niveau de journal système
Sélectionnez le niveau de gravité des messages qui doivent être affichés :
Dans cet exemple, les messages d'information et supérieurs sont affichés. Le niveau par défaut peut être défini individuellement à l'aide de la propriété Syslog Level dans le menu des objets du périphérique. Voir la section suivante pour des exemples.
Définition du journal système du périphérique
Source Syslog
Si l'appareil ne fait pas référence à lui-même avec son nom DNS dans son champ d'adresse , la propriété source Syslog doit être ajoutée à l'objet de l'appareil avec le nom d'hôte comme valeur :
Pour recevoir des messages pour tous les appareils qui envoient leur syslog à SKOOR, saisissez plutôt * .
Pour recevoir les messages enregistrés dans le fichier (au cas où rsyslog serait configuré pour écrire dans un fichier journal personnalisé, qui n'existe pas par défaut)
/var/opt/run/eranger/collector/tmp/syslog/messages_SAN
et provenant de l'hôte avec l'IP 10.1.1.134, utilisez l'entrée suivante :
Niveau Syslog
Ajoutez la propriété Syslog Level pour configurer le niveau de gravité par défaut.
Analyser les messages Syslog
Pour émettre des alarmes basées sur les messages syslog, ajoutez une nouvelle tâche d'analyse et sélectionnez un fichier syslog existant comme Filename , par exemple syslog/messages.csv_err . Les fichiers Syslog, lorsque rsyslog est configuré avec la configuration par défaut SKOOR Engine , sont stockés à l'emplacement suivant :
/var/opt/run/eranger/collector/tmp/syslog/
La figure ci-dessous montre un exemple d'analyse du message suivant pour l' échec de la conversation de chaîne.
20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed
Configuration du travail en mode syslog :
Les limites d'alarme peuvent être définies pour émettre une alarme Major si la chaîne a été enregistrée plus de 3 fois depuis la dernière exécution de la tâche :
Le résultat du travail au cas où plus de 3 lignes auraient été trouvées :