Utilizzo di SKOOR Engine come server syslog

È possibile visualizzare i messaggi syslog provenienti da fonti interne o esterne. Il demone rsyslog locale può essere configurato per consentire il traffico syslog in entrata. Un file di configurazione modello è disponibile sull'host SKOOR Engine. La configurazione funzionerà così com'è se viene rinominata in .conf:

# mv /etc/rsyslog.d/eranger-rsyslog.conf.example /etc/rsyslog.d/eranger-rsyslog.conf
# service rsyslog restart (Redhat 6)			or
# systemctl restart rsyslog.service (Redhat 7)

quindi riavviare il servizio syslog utilizzando uno dei seguenti comandi:

# service rsyslog restart						(Redhat 6)
# systemctl restart rsyslog.service				(Redhat 7)

Il server SKOOR Engine ora ascolterà sulla porta syslog UDP predefinita 514 il traffico syslog in entrata.

Origini syslog

Per utilizzare SKOOR Engine come server syslog per client syslog remoti, il client che genera i log deve essere configurato per inviare il suo output syslog o parte di esso a SKOOR Engine.

sylog-ng

Esempio di configurazione syslog-ng supponendo che il server SKOOR Engine abbia l'indirizzo IP 10.1.1.76:

...
destination loghost { udp("10.1.1.76" port(514)); };
log { source(src); destination(loghost); };
...

rsyslog

Esempio di configurazione rsyslog supponendo che il server SKOOR Engine abbia l'indirizzo IP 10.1.1.76:

...
*.*        @10.1.1.76:514			(sends all syslog output to SKOOR)										or
cron.*     @10.1.1.76:514			(sends only cron syslog output to SKOOR)								or
*.info     @10.1.1.76:514			(sends only syslog output of severity info or higher to SKOOR)
...

Windows

Per inviare i registri eventi da un computer Windows, è possibile utilizzare l'utilità Eventlog to Syslog evtsys dalla directory Windows Tools del CD di installazione di Windows.

Output syslog

L'output syslog ricevuto dal demone rsyslog di SKOOR Engine viene scritto in file, separati per gravità, nel seguente percorso:

$ ls -1 /var/opt/run/eranger/collector/tmp/syslog/

messages.csv_alert
messages.csv_alert.1
messages.csv_alert.2
messages.csv_alert.3
messages.csv_alert.4
messages.csv_alert.5
messages.csv_alert.6
messages.csv_alert.7
messages.csv_alert.8
messages.csv_crit
messages.csv_crit.1
messages.csv_crit.2
messages.csv_crit.3
messages.csv_crit.4
messages.csv_crit.5
messages.csv_crit.6
messages.csv_debug
messages.csv_debug.1
messages.csv_debug.2
messages.csv_debug.3
messages.csv_debug.4
messages.csv_debug.5
messages.csv_debug.6
messages.csv_debug.7
messages.csv_debug.8
messages.csv_err
messages.csv_err.1
messages.csv_err.2
messages.csv_err.3
messages.csv_err.4
messages.csv_info
messages.csv_info.1
messages.csv_info.2
messages.csv_info.3
messages.csv_info.4
messages.csv_info.5
messages.csv_info.6
messages.csv_info.7
messages.csv_info.8
messages.csv_notice
messages.csv_notice.1
messages.csv_notice.2
messages.csv_notice.3
messages.csv_notice.4
messages.csv_notice.5
messages.csv_notice.6
messages.csv_notice.7
messages.csv_notice.8
messages.csv_trap
messages.csv_trap.1
messages.csv_trap.2
messages.csv_trap.3
messages.csv_trap.4
messages.csv_trap.5
messages.csv_trap.6
messages.csv_trap.7
messages.csv_trap.8
messages.csv_warning
messages.csv_warning.1
messages.csv_warning.2
messages.csv_warning.3

Un esempio di output del contenuto del file dei messaggi descrive il formato dell'output syslog proveniente dal localhost di SKOOR Engine:

20170929000301;skoor-centos-master;authpriv;sudo; pam_unix(sudo:auth): auth could not identify password for [eranger]

Il formato dei file dei messaggi è definito nella configurazione rsyslog di SKOOR Engine:

/etc/rsyslog.d/eranger-rsyslog.conf

Configurazione del formato predefinito:

$template eranger-format,"%$year%%$month%%$day%%$hour%%$minute%%timestamp:F,58:3%;%fromhost%;%syslogfacility-text%;%programname%;%msg%\n"

Visualizza syslog del dispositivo

L'output sopra riportato può essere visualizzato anche sull'oggetto dispositivo SKOOR Engine stesso utilizzando la funzione Mostra syslog dall'elenco a discesa del dispositivo.

 Se il campo dell'indirizzo del dispositivo contiene il nome host o l'indirizzo IP del dispositivo come appare nei file dei messaggi syslog, viene visualizzato l'output syslog:

Per impostazione predefinita, il log è ordinato per data e ora e mostra l'output syslog di oggi. La figura sopra mostra l'output per Warning, il che significa che vengono stampati tutti i messaggi con un livello di gravità pari o superiore a Warning. Per invertire l'ordinamento, fare clic su una delle intestazioni di colonna della tabella Elenco syslog. Colori diversi rappresentano diversi livelli di gravità dei messaggi.

Selezionare l'intervallo di tempo del syslog

Selezionare l'intervallo di tempo da visualizzare:

Selezionare il livello syslog

Selezionare il livello di gravità dei messaggi che devono essere visualizzati:

In questo esempio vengono visualizzati i messaggi di tipo Info e superiori. Il livello predefinito può essere impostato individualmente utilizzando la proprietà Livello syslog nel menu dell'oggetto dispositivo. Vedere la sezione successiva per alcuni esempi.

Definizione del syslog del dispositivo

Origine syslog

Se il dispositivo non fa riferimento a se stesso con il proprio nome DNS nel campo dell'indirizzo, è necessario aggiungere la proprietà Origine syslog all'oggetto del dispositivo con il nome host come valore:

Per ricevere i messaggi di tutti i dispositivi che inviano il proprio syslog a SKOOR, inserire invece *.
Per ricevere i messaggi registrati nel file (nel caso in cui rsyslog sia configurato per scrivere in un file di log personalizzato, che non esiste per impostazione predefinita)

/var/opt/run/eranger/collector/tmp/syslog/messages_SAN

e provenienti dall'host con IP 10.1.1.134, utilizzare la seguente voce:

Livello Syslog

Aggiungere la proprietà Livello syslog per configurare il livello di gravità predefinito.

Analizza i messaggi syslog

Per emettere allarmi basati sui messaggi syslog, aggiungere un nuovo processo di analisi dei file e selezionare un file syslog esistente come Nome file, ad esempio syslog/messages.csv_err. I file syslog, quando rsyslog è configurato con la configurazione predefinita di SKOOR Engine, sono memorizzati nella seguente posizione:

/var/opt/run/eranger/collector/tmp/syslog/

La figura seguente mostra un esempio di analisi del seguente messaggio per la stringa conversazione non riuscita.

20170929142855;skoor-centos-master;auth;root; sudo: pam_unix(sudo:auth): conversation failed

Configurazione del lavoro utilizzando la modalità syslog:

I limiti di allarme possono essere impostati per emettere un allarme Major se la stringa è stata registrata più di 3 volte durante il tempo trascorso dall'ultima esecuzione del lavoro:

L'output del lavoro nel caso in cui siano state trovate più di 3 righe: