Shromažďování logů ze Syslog

Pro shromažďování logů z různých Syslog zdrojů, TeskaLabs LogMan.io Collector poskytuje možnost nastavit TCP a/nebo UDP příjmový port, který vyhovuje široké škále Syslog protokolů. Můžete jednoduše nakonfigurovat zdroj logů (například Linux server nebo síťové zařízení), aby posílal logy do kolektoru, typicky na port 514 (TCP a/nebo UDP) a TeskaLabs LogMan.io Collector tyto logy zpracuje.

Tip

Syslog protokol typicky používá port 514, TCP nebo UDP, ale TeskaLabs LogMan.io Collector může být nakonfigurován tak, aby používal i jiné porty.

Pro využití této funkce nakonfigurujte své zdroje logů, aby přeposílaly logy na port 514, 1514 nebo 6514, UDP, TCP nebo SSL TeskaLabs LogMan.io Collector. TeskaLabs LogMan.io Collector automaticky detekuje původ příchozích dat a podle toho je kategorizuje do proudů (event lanes).

Chytrá klasifikace

TeskaLabs LogMan.io Collector klasifikuje příchozí logy pomocí chytré funkce. To umožňuje pohodlnou schopnost nakonfigurovat všechny zdroje logů, aby posílaly logy na IP adresu TeskaLabs LogMan.io Collector a konkrétní port, včetně velmi jednoduché konfigurace síťové cesty.

TeskaLabs LogMan.io Collector používá klasifikační mapu ve své YAML konfiguraci.

Konfigurace

Tento příklad ukazuje konfiguraci TeskaLabs LogMan.io Collector pro použití Syslog a chytrou klasifikaci příchozích logů na portu 514 UDP a TCP.

Název proudu je důležitý

Název proudu specifikovaný v konfiguraci LogMan.io Collector je důležitý. LogMan.io vybírá správná pravidla pro analýzu, obsah a další komponenty související se zdrojem logů na základě názvu proudu. Přečtěte si více o názvech proudů zde.

Minimální konfiguraceKonfigurace s klasifikovanými proudy

Zde je příklad minimální konfigurace, ve které budou všechny příchozí logy odeslány do proudu generic.

classification:
  smart_syslog: &smart_syslog  # YAML anchor referencing to both SmartDatagram and SmartStream inputs

    # Všechny události jsou odeslány do proudu 'generic'
    generic:
      - ip: "*"

# Poslouchat na UDP 514
input:SmartDatagram:UDP514:
  address: 514
  smart: *smart_syslog
  output: smart

# Poslouchat na TCP 514
input:SmartStream:TCP514:
  address: 514
  smart: *smart_syslog
  output: smart

# Poslouchat na SSL 6514
input:SmartStream:SSL6514:
  address: 6514
  ssl: on
  smart: *smart_syslog
  output: smart

# Připojení k LogMan.io
output:CommLink:smart: {}

Zde je příklad konfigurace se čtyřmi proudy linux-syslog-rfc5424-1, fortinet-fortigate-1, fortinet-fortigate-2 a linux-rsyslog-1 s různými možnostmi, jak můžete klasifikovat příchozí IP adresy, porty a protokoly.

classification:

  smart514: &smart514  # YAML anchor referencing to both SmartDatagram and SmartStream inputs

    linux-syslog-rfc5424-1:    # název proudu

      - ip: "192.168.0.1"      # Jedna IPv4 adresa
        port: 80               # Jeden port
        protocol: TCP          # TCP protokol

      - ip: "2001:db8::1"      # Jedna IPv6 adresa
        port: "1000-2000"      # Rozsah portů
        protocol: UDP          # UDP protokol

    fortinet-fortigate-1:

      - ip: "10.0.0.0/8"       # IPv4 rozsah
        port: 14000
        protocol: UDP

      - ip: "fd00::/8"         # IPv6 rozsah
        port: "*"              # Libovolný port
        protocol: UDP

    fortinet-fortigate-2:

      - ip: "*"                # Libovolná IP adresa
        port: "*"              # Libovolný port
        protocol: UDP

    linux-rsyslog-1:
      - ip: "::1"              # Lokální IP adresy

# Poslouchat na UDP 514
input:SmartDatagram:UDP514:
  address: 514
  smart: *smart514
  output: smart

# Poslouchat na TCP 514 s automatickou detekcí SSL
input:SmartStream:TCP514:
  address: 514
  ssl: auto
  smart: *smart514
  output: smart

# Logy jsou přeposílány do LogMan.io pomocí CommLink
output:CommLink:smart: {}

Warning

Chytrá klasifikace funguje pouze s výstupem CommLink.

SmartDatagram a SmartStream

SmartDatagram (pro UDP) a SmartStream (pro TCP) zdroje jsou podobné Datagram/TCP a Stream/UDP zdrojům, s další možností smart, která odkazuje na příslušnou podsekci v classification.

Poslouchání na UDP

Konfigurace pro poslouchání na UDP portu 514.

input:SmartDatagram:UDP514:
  address: 514
  smart: *smart_syslog
  output: smart

Poslouchání na TCP

Konfigurace pro poslouchání na TCP portu 514.

input:SmartStream:TCP514:
  address: 514
  smart: *smart_syslog
  output: smart

Poslouchání na SSL/TLS

TLS/SSL může být povoleno na input:SmartStream (TCP) pomocí konfigurační možnosti ssl.

input:SmartStream:SSL6514:
  address: 6514
  ssl: on
  key: key.pem
  cert: cert.pem
  smart: *smart_syslog
  output: smart

Možné hodnoty pro ssl možnosti jsou auto / on / off, výchozí je auto. auto znamená, že jsou akceptovány jak obyčejné TCP, tak SSL/TLS, s automatickou detekcí.

Pokud není poskytnut soukromý klíč (key) a příslušný certifikát (cert), interní certifikační autorita kolektoru vygeneruje self-signed SSL certifikát.

Tip

Pokročilejší nastavení TCP/SSL jsou popsána níže.

Klasifikační mapa

Sekce classification může obsahovat jednoho nebo více klasifikátorů.

Warning

Sekce classification musí být specifikována PŘED sekcemi input:..., jinak není reference (tj. *smart_syslog) rozpoznána.

Každý klasifikátor specifikuje kombinaci rozsahů IP adres, rozsahů portů a protokolů; a převádí je do proudu. Každý log, který dorazí do TeskaLabs LogMan.io Collector chytrého syslogu, je porovnán s těmito klasifikátory a výsledný proud je použit jako jeho cíl v LogMan.io. Pokud není nalezen žádný shodný, log jde do generic stream (pojmenovaného generic).

Tip

Proudy lze najít v komponentě Archiv TeskaLabs LogMan.io.

linux-syslog-rfc5424-1:
  - ip: "192.168.0.1"
    port: 80
    protocol: TCP

  - ip: "2001:db8::1"
    port: "1000-2000"
    protocol: UDP

linux-syslog-rfc5424-1 je název proudu.

ip

• Jedna IPv4/IPv6 adresa: 92.168.0.1, 2001:db8::1
• Rozsah IPv4/IPv6 adres: 10.0.0.0/8, fd00::/8
• Zástupný znak * pro všechny IPv4/IPv6 adresy

port

• Jeden port: 5400
• Rozsah portů: 4000-8000
• Když není specifikováno nebo *, používá se rozsah 0-65535

protokol

• TCP / UDP
• Když není specifikováno, používají se oba TCP a UDP

* zástupný znak může být příliš široký

Ujistěte se, že zástupný znak * je uzavřen v uvozovkách v YAML "*". Asterisk bez uvozovek by porušil syntaxi YAML.

Překrývající se IP adresy a porty

IP adresy a porty se mohou překrývat. V takovém případě je vybrán nejkonkrétnější shodný. V následujícím příkladu je 25400 shodován s fortinet-fortigate-3, 25100 s fortinet-fortigate-2 a 24000 s fortinet-fortigate-1:

fortinet-fortigate-1:
  - ip: "192.168.0.1"
    port: 24000-30000

fortinet-fortigate-2:
  - ip: "192.168.0.1"
    port: 25000-26000

fortinet-fortigate-3:
  - ip: "192.168.0.1"
    port: 25400

Totéž platí pro IP adresy.

Generic stream

Pokud není během klasifikace identifikován cílový proud, log je přeposlán do proudu generic.

Příklad klasifikace proudu

Představte si, že připojujete nové zdroje logů z rozsahu IP adres 192.168.0.0/24.

Bez klasifikátoru jsou události shromažďovány do proudu generic a ukládány v Archivu.

Po prozkoumání proudů v Archivu jste zjistili, že existuje zdroj typu logsox. Klasifikujete proud, abyste jej oddělili od ostatních příchozích dat:

logsox-1:
  - ip: "192.168.0.0/24"

Při vytváření pravidel pro analýzu pro proud zjistíte, že příchozí události logsox z IP 192.168.0.68 mají jinou formu než ostatní. Můžete tento proud izolovat a aplikovat na něj různá pravidla pro analýzu:

logsox-1:
  - ip: "192.168.0.0/24"

logsox-2:
  - ip: "192.168.0.68"

Názvy proudů

Výběr správného názvu proudu je důležitý, protože TeskaLabs LogMan.io určuje technologii, vybírá správná pravidla pro analýzu, dashboardy a další obsah, na základě názvu proudu.

Aby bylo možné připojit zdroj logů, který existuje v Knihovně a automaticky přiřadit správný event lane, musí název proudu odpovídat jednomu z šablon event lane umístěných ve složce /Templates/EventLanes/ v Knihovně.

Níže je tabulka, která popisuje názvy proudů používané různými technologiemi při připojování k LogMan.io Collector. Nahraďte hvězdičku "*" na konci názvu proudu libovolným číslem. Například můžete použít čítač (fortinet-fortigate-1, fortinet-fortigate-2, linux-rsyslog-1, ...) nebo číslo portu (fortinet-fortigate-10000, fortinet-fortigate-20000, linux-rsyslog-30000, ...).

Název technologie	Název proudu
Apache HTTP Server	apache-http-server-*
Bitdefender Cloud Security	bitdefender-cloud-*
Bitdefender GravityZone	bitdefender-gravityzone-*
Blue Coat Secure Web Gateway	broadcom-blue-coat-swg-*
Broadcom Brocade Switch	broadcom-brocade-switch-*
CEF	cef-*
Check Point Firewall	check-point-firewall-*
Cisco ACI	cisco-aci-*
Cisco ASA	cisco-asa-*
Cisco FTD	cisco-ftd-*
Cisco IOS	cisco-ios-*
Cisco ISE	cisco-ise-*
Cisco MDS	cisco-mds-*
Cisco Switch Catalyst	cisco-switch-catalyst-*
Cisco Switch Nexus	cisco-switch-nexus-*
Cisco UCS	cisco-ucs-*
Cisco WLC	cisco-wlc-*
Citrix	citrix-*
Dell iDRAC	dell-idrac-*
Dell PowerVault	dell-powervault-*
Dell Switch	dell-switch-*
Devolutions Web Server	devolutions-web-server-*
EATON UPS	eaton-ups-*
ESET Protect	eset-protect-*
F5	f5-*
FileZilla	filezilla-*
Fortinet FortiClient	fortinet-forticlient-*
Fortinet FortiGate	fortinet-fortigate-*
Fortinet FortiMail	fortinet-fortimail-*
Fortinet FortiSwitch	fortinet-fortiswitch-*
Generic	generic
Gordic Ginis	gordic-ginis-*
HAProxy	haproxy-*
Helios	helios-*
HPE Aruba ClearPass	hpe-aruba-clearpass-*
HPE Aruba IAP	hpe-aruba-iap-*
HPE Aruba IAP	hpe-aruba-switch-*
HPE iLO	hpe-ilo-*
HPE LaserJet Series	hpe-laserjet-*
HPE Primera	hpe-primera-*
HPE StoreOnce	hpe-storeonce-*
IBM QRADAR	ibm-qradar-*
IBM Tape Library	ibm-tape-library-*
IceWarp	icewarp-mailserver-*
Ivanti Security	ivanti-security-*
Kubernetes	kubernetes-*
Lenovo XClarity Controller	lenovo-xcc-*
Linux Auditd	linux-auditd-*
Linux Rsyslog	linux-rsyslog-*
Linux Syslog RFC 3164	linux-syslog-rfc3164-*
Linux Syslog RFC 5424	linux-syslog-rfc5424-*
ManageEngine AD Audit Plus	manageengine-ad-audit-plus-*
McAfee Webwasher	mcafee-webwasher-*
Microsoft DHCP	microsoft-dhcp-*
Microsoft DNS	microsoft-dns-*
Microsoft Exchange	microsoft-exchange-*
Microsoft IIS	microsoft-iis-*
Microsoft SQL Server	microsoft-sql-server-*
MikroTik	mikrotik-*
Minolta Bizhub	minolta-bizhub-*
NetApp FAS	netapp-fas-*
NetApp Storage	netapp-storage-*
Nginx	nginx-*
Ntopng	ntopng-*
OpenStack Audit HTTP Request	openstack-*
OpenVPN	openvpn-*
Oracle Cloud	oracle-cloud-*
Oracle Listener	oracle-listener-*
Oracle Spark	oracle-spark-*
PaloAlto	palo-alto-*
PfSense	pfsense-*
QNAP NAS	qnap-nas-*
Samba Active Directory Domain Controller