Mostra syslog

Utilizzo di SKOOR Engine come server syslog

È possibile visualizzare i messaggi syslog provenienti da fonti interne o esterne. Il demone locale rsyslog può essere configurato per consentire il traffico syslog in entrata. Sull'host di SKOOR Engine è disponibile un file di configurazione modello. La configurazione funzionerà così com'è se viene rinominata in .conf:

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

quindi riavviare il servizio syslog utilizzando uno dei seguenti comandi:

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

Il server SKOOR Engine ascolterà ora la porta syslog UDP 514 per il traffico syslog in entrata.

Sorgenti syslog

Per utilizzare SKOOR Engine come server syslog per client syslog remoti, il client che genera il log deve essere impostato per inviare il suo output syslog o parte di esso a SKOOR Engine.

sylog-ng

esempio di configurazione di syslog-ng, assumendo che il server SKOOR Engine abbia l'indirizzo IP 10.1.1.76:

syslog-ng.conf

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

configurazione di esempio di rsyslog, supponendo che il server SKOOR Engine abbia l'indirizzo IP 10.1.1.76:

rsyslog.conf

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

Per far sì che una macchina Windows invii i suoi log degli eventi, si può usare l'utility Eventlog to Syslog evtsys dalla directory Windows Tools del CD di installazione di Windows.

Uscita syslog

L'output syslog ricevuto dal demone rsyslog dello SKOOR Engine viene scritto in file, separati per gravità, sotto il seguente percorso:

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Un esempio di output del contenuto del file dei messaggi descrive il formato dell'output syslog proveniente dal localhost di SKOOR Engine:

messages.csv_crit

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Il formato dei file dei messaggi è definito nella configurazione di SKOOR Engine rsyslog:

/etc/rsyslog.d/eranger-rsyslog.conf

Configurazione predefinita del formato:

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Visualizza syslog del dispositivo

L'output di cui sopra può essere visualizzato anche sull'oggetto dispositivo di SKOOR Engine stesso, utilizzando la funzione Show Syslog dall'elenco a discesa del dispositivo.

Se il campo dell'indirizzo del dispositivo contiene il nome host o l'indirizzo IP del dispositivo, così come appare nei file dei messaggi syslog, viene visualizzato l'output syslog:

Se non viene visualizzato nulla, il nome host, come appare nei messaggi syslog, probabilmente non corrisponde al contenuto del campo indirizzo del dispositivo. Vedere la sezioneSyslog del dispositivo per i dettagli su come mappare il nome host al campo dell 'indirizzo.

Per impostazione predefinita, il registro è ordinato per data e ora e mostra l'output del syslog di oggi. La figura precedente mostra l'output per Warning, che significa che vengono stampati tutti i messaggi con gravità pari o superiore a Warning. Per invertire l'ordinamento, fare clic su una delle intestazioni di colonna della tabella Elenco syslog. Colori diversi rappresentano gravità diverse dei messaggi.

Seleziona intervallo di tempo syslog

Selezionare l'intervallo di tempo da visualizzare:

Seleziona livello syslog

Selezionare il livello di gravità dei messaggi da visualizzare:

In questo esempio, vengono visualizzati i messaggi Info e superiori. Il livello predefinito può essere impostato individualmente utilizzando la proprietà Livello syslog nel menu dell'oggetto del dispositivo. Per gli esempi, vedere la sezione successiva.

Definizione del syslog del dispositivo

Sorgente syslog

Se il dispositivo non si riferisce a se stesso con il proprio nome DNS nel campo dell 'indirizzo, è necessario aggiungere la proprietà Syslog source all'oggetto del dispositivo con il nome host come valore:

Per ricevere i messaggi di tutti i dispositivi che inviano il loro syslog a SKOOR, inserire *.
Per ricevere i messaggi registrati nel file (nel caso in cui rsyslog sia configurato per scrivere in un logfile personalizzato, che non esiste per impostazione predefinita)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

e provenienti dall'host con IP 10.1.1.134, utilizzare la seguente voce:

Livello Syslog

Aggiungere la proprietà Syslog Level per configurare il livello di gravità predefinito.

Analizzare i messaggi syslog

Per emettere allarmi basati sui messaggi syslog, aggiungere un nuovo job parsefile e selezionare un file syslog esistente come Filename, ad esempio syslog/messages.csv_err. I file syslog, quando rsyslog è configurato con la configurazione predefinita di SKOOR Engine, sono memorizzati nella seguente posizione:

/var/opt/run/eranger/collector/tmp/syslog/

La figura seguente mostra un esempio di analisi del seguente messaggio per la stringa conversazione fallita.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Configurazione del lavoro in modalità syslog:

I limiti di allarme possono essere impostati in modo da emettere un allarme Major se la stringa è stata registrata più di 3 volte dall'ultima esecuzione del lavoro:

L'output del lavoro nel caso in cui siano state trovate più di 3 righe: