Utilisation de l'SKOOR Engine comme serveur syslog

Les messages syslog provenant de sources internes ou externes peuvent être affichés. Le démon rsyslog local peut être configuré pour autoriser le trafic syslog entrant. Un fichier de configuration modèle est disponible sur l'hôte SKOOR Engine. La configuration fonctionnera telle quelle si elle est renommée en .conf :

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

puis redémarrez le service syslog à l'aide de l'une des commandes suivantes :

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

Le serveur SKOOR Engine écoutera désormais le trafic syslog entrant sur le port UDP syslog par défaut 514.

Sources syslog

Pour utiliser SKOOR Engine comme serveur syslog pour les clients syslog distants, le client générant les journaux doit être configuré pour envoyer tout ou partie de sa sortie syslog à SKOOR Engine.

sylog-ng

Exemple de configuration syslog-ng en supposant que le serveur SKOOR Engine a l'adresse IP 10.1.1.76 :

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

Exemple de configuration rsyslog en supposant que le server SKOOR Engine a l'adresse IP 10.1.1.76 :

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

Pour qu'un ordinateur Windows envoie ses journaux d'événements, vous pouvez utiliser l'utilitaire Eventlog to Syslog evtsys disponible dans le répertoire Windows Tools du CD d'installation de Windows.

Sortie syslog

La sortie syslog reçue par le démon rsyslog du SKOOR Engine est écrite dans des fichiers, séparés par niveau de gravité, sous le chemin suivant :

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Un exemple de sortie du contenu du fichier messages décrit le format de la sortie syslog provenant du localhost du SKOOR Engine :

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Le format des fichiers messages est défini dans la configuration rsyslog du SKOOR Engine :

/etc/rsyslog.d/eranger-rsyslog.conf

Configuration du format par défaut :

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Afficher le syslog du périphérique

La sortie ci-dessus peut également être consultée sur l'objet de périphérique SKOOR Engine lui-même à l'aide de la fonction Afficher le syslog dans la liste déroulante du périphérique.

 Si le champ d'adresse du périphérique contient le nom d'hôte ou l'adresse IP du périphérique tel qu'il apparaît dans les fichiers de messages syslog, la sortie syslog s'affiche :

Par défaut, le journal est trié par horodatage et affiche la sortie syslog du jour. La figure ci-dessus montre la sortie pour Warning, ce qui signifie que tous les messages dont la gravité est Warning ou supérieure sont imprimés. Pour inverser le tri, cliquez sur l'un des en-têtes de colonne du tableau Syslog List. Les différentes couleurs représentent les différents niveaux de gravité des messages.

Sélectionnez la plage horaire du syslog

Sélectionnez la plage horaire à afficher :

Sélectionner le niveau syslog

Sélectionnez le niveau de gravité des messages à afficher :

Dans cet exemple, les messages d'information et supérieurs sont affichés. Le niveau par défaut peut être défini individuellement à l'aide de la propriété Niveau du journal système dans le menu de l'objet du périphérique. Voir la section suivante pour des exemples.

Définition du syslog de l'appareil

Source syslog

Si l'appareil ne se réfère pas à lui-même avec son nom DNS dans son champ d'adresse, la propriété Source Syslog doit être ajoutée à l'objet de l'appareil avec le nom d'hôte comme valeur :

Pour recevoir les messages de tous les appareils qui envoient leur syslog à SKOOR, entrez * à la place.
Pour recevoir les messages enregistrés dans le fichier (si rsyslog est configuré pour écrire dans un fichier journal personnalisé, qui n'existe pas par défaut)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

et provenant de l'hôte avec l'adresse IP 10.1.1.134, utilisez l'entrée suivante :

Niveau Syslog

Ajoutez la propriété Niveau Syslog pour configurer le niveau de gravité par défaut.

Analyser les messages syslog

Pour émettre des alarmes basées sur les messages syslog, ajoutez une nouvelle tâche parsefile et sélectionnez un fichier syslog existant comme nom de fichier, par exemple syslog/messages.csv_err. Lorsque rsyslog est configuré avec la configuration par défaut du SKOOR Engine, les fichiers syslog sont stockés à l'emplacement suivant :

/var/opt/run/eranger/collector/tmp/syslog/

La figure ci-dessous montre un exemple d'analyse du message suivant pour la chaîne conversation failed.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Configuration de la tâche en mode syslog :

Les limites d'alarme peuvent être définies pour déclencher une alarme Major si la chaîne a été enregistrée plus de 3 fois depuis la dernière exécution de la tâche :

Résultat de la tâche dans le cas où plus de 3 lignes ont été trouvées :