Utilisation de SKOOR Engine comme serveur syslog

Les messages syslog provenant de sources internes ou externes peuvent être affichés. Le démon local rsyslog peut être configuré pour autoriser le trafic syslog entrant. Un fichier de configuration modèle est disponible sur l'hôte de SKOOR Engine. La configuration fonctionnera telle quelle si elle est renommée en .conf :

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

puis redémarrer le service syslog à l'aide de l'une des commandes suivantes :

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

Le serveur SKOOR Engine écoutera désormais le trafic syslog entrant sur le port UDP syslog 514 par défaut.

Sources syslog

Pour utiliser SKOOR Engine en tant que serveur syslog pour des clients syslog distants, le client générant les logs doit être configuré pour envoyer tout ou partie de sa sortie syslog à SKOOR Engine.

sylog-ng

Exemple de configuration de syslog-ng en supposant que le serveur SKOOR Engine a l'adresse IP 10.1.1.76 :

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

Exemple de configuration rsyslog en supposant que le serveur SKOOR Engine a l'adresse IP 10.1.1.76 :

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

Pour qu'une machine Windows envoie ses journaux d'événements, on peut utiliser l'utilitaire Eventlog to Syslog evtsys qui se trouve dans le répertoire Windows Tools du CD d'installation de Windows.

Sortie Syslog

Les sorties syslog reçues par le démon rsyslog de SKOOR Engine sont écrites dans des fichiers, séparés par la gravité, sous le chemin suivant :

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Un exemple de sortie du contenu des fichiers de messages décrit le format de la sortie syslog provenant de l'hôte local de SKOOR Engine :

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Le format des fichiers de messages est défini dans la configuration rsyslog de SKOOR Engine :

/etc/rsyslog.d/eranger-rsyslog.conf

Configuration du format par défaut :

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Display device syslog

La sortie ci-dessus peut également être visualisée sur l'objet de l'appareil SKOOR Engine lui-même en utilisant la fonction Show Syslog à partir de la liste déroulante de l'appareil.

Si le champ d'adresse du périphérique contient le nom d'hôte ou l'adresse IP du périphérique tel qu'il apparaît dans les fichiers de messages syslog, la sortie syslog est affichée :

Par défaut, le journal est trié par horodatage et affiche les messages syslog du jour. La figure ci-dessus montre la sortie pour Warning, ce qui signifie que tous les messages dont la gravité est égale ou supérieure à Warning sont imprimés. Pour inverser le tri, cliquez sur l'un des en-têtes de colonne de la table Syslog List. Des couleurs différentes correspondent à des degrés de gravité différents.

Sélectionner l'intervalle de temps du syslog

Sélectionnez l'intervalle de temps à afficher :

Sélectionner le niveau syslog

Sélectionnez le niveau de gravité des messages à afficher :

Dans cet exemple, les messages Info et supérieurs sont affichés. Le niveau par défaut peut être défini individuellement à l'aide de la propriété Syslog Level dans le menu de l'objet de l'appareil. Voir la section suivante pour des exemples.

Définition du syslog de l'appareil

Source Syslog

Si le dispositif ne se réfère pas à lui-même avec son nom DNS dans son champ d'adresse, la propriété Syslog source doit être ajoutée à l'objet du dispositif avec le nom d'hôte comme valeur :

Pour recevoir les messages de tous les dispositifs qui envoient leur syslog à SKOOR, entrez * à la place.
Pour recevoir les messages enregistrés dans le fichier (dans le cas où rsyslog est configuré pour écrire dans un fichier journal personnalisé, qui n'existe pas par défaut)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

et provenant de l'hôte avec l'IP 10.1.1.134, utilisez l'entrée suivante :

Niveau Syslog

Ajoutez la propriété Syslog Level pour configurer le niveau de gravité par défaut.

Analyse des messages syslog

Pour émettre des alarmes basées sur les messages syslog, ajoutez un nouveau job parsefile et sélectionnez un fichier syslog existant comme Filename, par exemple syslog/messages.csv_err. Les fichiers syslog, lorsque rsyslog est configuré avec la configuration par défaut de SKOOR Engine, sont stockés à l'emplacement suivant :

/var/opt/run/eranger/collector/tmp/syslog/

La figure ci-dessous montre un exemple d'analyse du message suivant pour la chaîne conversation failed.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Configuration des tâches en mode syslog :

Les limites d'alarme peuvent être définies pour émettre une alarme Major si la chaîne a été enregistrée plus de 3 fois au cours de la période écoulée depuis la dernière exécution du travail :

La sortie du job dans le cas où plus de 3 lignes ont été trouvées :