Utiliser SKOOR Engine comme server Syslog

Les messages Syslog provenant de sources internes ou externes peuvent être affichés. Le démon rsyslog local peut être configuré pour autoriser le trafic syslog entrant. Un fichier de configuration de modèle est disponible sur l'hôte SKOOR Engine . La configuration fonctionnera telle quelle si elle est renommée en .conf :

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

puis redémarrez le service syslog à l'aide de l'une des commandes suivantes :

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

Le server SKOOR Engine écoutera désormais sur le port syslog UDP 514 par défaut le trafic syslog entrant.

Sources Syslog

Pour utiliser SKOOR Engine comme server Syslog pour les clients Syslog distants, le client générateur de journaux doit être configuré pour envoyer sa sortie Syslog ou une partie de celle-ci à SKOOR Engine .

sylog-ng

Exemple de configuration syslog-ng en supposant que server SKOOR Engine a l'adresse IP 10.1.1.76 :

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

Exemple de configuration rsyslog en supposant que server SKOOR Engine a l'adresse IP 10.1.1.76 :

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

les fenêtres

Pour qu'une machine Windows envoie ses journaux d'événements, vous pouvez utiliser l'utilitaire Eventlog to Syslog evtsys à partir du répertoire Windows Tools du CD d'installation de Windows.

Sortie Syslog

La sortie syslog reçue par le démon rsyslog du SKOOR Engine est écrite dans des fichiers, séparés par gravité, sous le chemin suivant :

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Un exemple de sortie du contenu du fichier de messages décrit le format de la sortie syslog provenant de l'hôte local SKOOR Engine :

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Le format des fichiers de messages est défini dans la configuration rsyslog SKOOR Engine :

/etc/rsyslog.d/eranger-rsyslog.conf

Configuration du format par défaut :

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Afficher le journal système du périphérique

La sortie ci-dessus peut également être visualisée sur l' objet périphérique SKOOR Engine lui-même à l'aide de la fonction Afficher Syslog dans la liste déroulante du périphérique.

  Si le champ d'adresse du périphérique contient le nom d'hôte ou l'adresse IP du périphérique tel qu'il apparaît dans les fichiers de messages Syslog, la sortie Syslog s'affiche :

Par défaut, le journal est trié par horodatage et affiche la sortie syslog du jour. La figure ci-dessus montre la sortie pour Warning , ce qui signifie que tous les messages avec une gravité d' Warning ou supérieure sont imprimés. Pour inverser le tri, cliquez sur l'un des en-têtes de colonne du tableau Syslog List . Différentes couleurs représentent différentes gravités de message.

Sélectionnez la plage horaire Syslog

Sélectionnez la plage horaire qui doit être affichée :

Sélectionnez le niveau de journal système

Sélectionnez le niveau de gravité des messages qui doivent être affichés :

Dans cet exemple, les messages d'information et supérieurs sont affichés. Le niveau par défaut peut être défini individuellement à l'aide de la propriété Syslog Level dans le menu des objets du périphérique. Voir la section suivante pour des exemples.

Définition du journal système du périphérique

Source Syslog

Si l'appareil ne fait pas référence à lui-même avec son nom DNS dans son champ d'adresse , la propriété source Syslog doit être ajoutée à l'objet de l'appareil avec le nom d'hôte comme valeur :

Pour recevoir des messages pour tous les appareils qui envoient leur syslog à SKOOR, saisissez plutôt * .
Pour recevoir les messages enregistrés dans le fichier (au cas où rsyslog serait configuré pour écrire dans un fichier journal personnalisé, qui n'existe pas par défaut)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

et provenant de l'hôte avec l'IP 10.1.1.134, utilisez l'entrée suivante :

Niveau Syslog

Ajoutez la propriété Syslog Level pour configurer le niveau de gravité par défaut.

Analyser les messages Syslog

Pour émettre des alarmes basées sur les messages syslog, ajoutez une nouvelle tâche d'analyse et sélectionnez un fichier syslog existant comme Filename , par exemple syslog/messages.csv_err . Les fichiers Syslog, lorsque rsyslog est configuré avec la configuration par défaut SKOOR Engine , sont stockés à l'emplacement suivant :

/var/opt/run/eranger/collector/tmp/syslog/

La figure ci-dessous montre un exemple d'analyse du message suivant pour l' échec de la conversation de chaîne.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Configuration du travail en mode syslog :

Les limites d'alarme peuvent être définies pour émettre une alarme Major si la chaîne a été enregistrée plus de 3 fois depuis la dernière exécution de la tâche :

Le résultat du travail au cas où plus de 3 lignes auraient été trouvées :