Shromažďování protokolů ze Syslog¶
Pro shromažďování protokolů z různých Syslog zdrojů poskytuje TeskaLabs LogMan.io Collector možnost nastavit TLS/SSL, TCP a/nebo UDP příjmový port, který vyhovuje široké škále Syslog protokolů. Můžete jednoduše nakonfigurovat zdroj protokolů (například Linux server nebo síťové zařízení), aby posílal protokoly do kolektoru, obvykle na port 514 (TLS/SSL, TCP a/nebo UDP) a TeskaLabs LogMan.io Collector tyto protokoly zpracuje.
Tip
Syslog protokol obvykle používá port 514, TCP nebo UDP, ale TeskaLabs LogMan.io Collector může být nakonfigurován také pro použití jiných portů.
Aby bylo možné tuto funkci využít, nakonfigurujte své zdroje protokolů tak, aby přeposílaly protokoly na port 514. TeskaLabs LogMan.io Collector automaticky detekuje původ příchozích dat a podle toho je kategorizuje do proudů (event lanes).
Tip
TeskaLabs LogMan.io Collector automaticky detekuje šifrovaná spojení na TCP portech a provádí upgrade na TLS/SSL bez nutnosti specifické konfigurace. Preferujte posílání logů přes TLS/SSL.
Chytrá klasifikace¶
TeskaLabs LogMan.io Collector klasifikuje příchozí protokoly pomocí chytré funkce. To umožňuje pohodlnou možnost nakonfigurovat všechny zdroje protokolů tak, aby posílaly protokoly na IP adresu TeskaLabs LogMan.io Collector a na konkrétní port, včetně velmi jednoduché konfigurace síťové cesty.
TeskaLabs LogMan.io Collector používá klasifikační mapu ve své YAML konfiguraci.
Konfigurace¶
Tento příklad ukazuje konfiguraci TeskaLabs LogMan.io Collector pro použití Syslog a chytrou klasifikaci příchozích protokolů na portu 514 UDP, TCP a TLS/SSL.
Název proudu je důležitý
Název proudu uvedený v konfiguraci LogMan.io Collector je důležitý. LogMan.io vybírá správná pravidla pro analýzu, obsah a další komponenty související se zdrojem protokolů na základě názvu proudu. Přečtěte si více o názvech proudů zde.
Zde je příklad minimální konfigurace, ve které budou všechny příchozí protokoly odeslány do proudu generic.
classification:
smart514: &smart514 # YAML ukotvení odkazující na vstupy SmartDatagram a SmartStream
# Všechny události jsou odeslány do proudu 'generic'
generic:
- ip: "*"
# Poslouchá na UDP 514
input:SmartDatagram:UDP514:
address: 514
smart: *smart514
output: smart
# Poslouchá na TCP 514
input:SmartStream:TCP514:
address: 514
smart: *smart514
output: smart
# Připojení k LogMan.io
output:CommLink:smart: {}
Zde je příklad konfigurace se čtyřmi proudy linux-syslog-rfc5424-1, fortinet-fortigate-1, fortinet-fortigate-2 a linux-rsyslog-1 s různými možnostmi, jak můžete klasifikovat příchozí IP adresy, porty a protokoly.
classification:
smart514: &smart514 # YAML ukotvení odkazující na vstupy SmartDatagram a SmartStream
linux-syslog-rfc5424-1: # název proudu
- ip: "192.168.0.1" # Jedna IPv4 adresa
port: 80 # Jediný port
protocol: TCP # TCP protokol
- ip: "2001:db8::1" # Jedna IPv6 adresa
port: "1000-2000" # Rozsah portů
protocol: UDP # UDP protokol
fortinet-fortigate-1:
- ip: "10.0.0.0/8" # IPv4 rozsah
port: 14000
protocol: UDP
- ip: "fd00::/8" # IPv6 rozsah
port: "*" # Libovolný port
protocol: UDP
fortinet-fortigate-2:
- ip: "*" # Libovolná IP adresa
port: "*" # Libovolný port
protocol: UDP
linux-rsyslog-1:
- ip: "::1" # Lokální IP adresy
# Poslouchá na UDP 514
input:SmartDatagram:UDP514:
address: 514
smart: *smart514
output: smart
# Poslouchá na TCP 514
input:SmartStream:TCP514:
address: 514
smart: *smart514
output: smart
# Protokoly jsou přeposílány do LogMan.io pomocí CommLink
output:CommLink:smart: {}
Warning
Chytrá klasifikace funguje pouze s výstupem CommLink.
SmartDatagram a SmartStream¶
SmartDatagram (pro UDP) a SmartStream (pro TCP a TLS/SSL) zdroje jsou podobné jako Datagram/TCP a Stream/UDP zdroje, s další možností smart, která odkazuje na příslušnou podsekci v classification.
# Poslouchá na UDP 514
input:SmartDatagram:UDP514:
address: 514
smart: *smart514
output: smart
# Poslouchá na TCP 514
input:SmartStream:TCP514:
address: 514
smart: *smart514
output: smart
Warning
Sekce classification musí být specifikována PŘED sekcemi input:..., jinak není odkaz *smart514 rozpoznán.
Klasifikační mapa¶
Sekce classification může obsahovat jeden nebo více klasifikátorů.
Každý klasifikátor specifikuje kombinaci rozsahů IP adres, rozsahů portů a protokolů; a převádí je do proudu. Každý protokol, který dorazí do TeskaLabs LogMan.io Collector chytrého syslogu, je porovnán s těmito klasifikátory a výsledný proud je použit jako jeho cíl v LogMan.io. Pokud není nalezen žádný shodný, protokol jde do generic stream (pojmenovaného generic).
Tip
Proud lze nalézt v komponentě Archiv TeskaLabs LogMan.io.
linux-syslog-rfc5424-1:
- ip: "192.168.0.1"
port: 80
protocol: TCP
- ip: "2001:db8::1"
port: "1000-2000"
protocol: UDP
linux-syslog-rfc5424-1 je název proudu.
ip¶
- Jedna IPv4/IPv6 adresa:
92.168.0.1,2001:db8::1 - Rozsah IPv4/IPv6 adres:
10.0.0.0/8,fd00::/8 - Zástupný znak
*pro všechny IPv4/IPv6 adresy
port¶
- Jediný port:
5400 - Rozsah portů:
4000-8000 - Pokud není specifikováno nebo
*, používá se rozsah0-65535
protokol¶
TCP/UDP- Pokud není specifikováno, používají se oba TCP a UDP
ssl¶
Kolektor umožňuje přijímat logy pomocí šifrovaného spojení TLS verze 1.0 a vyšší.
Doporučujeme používat verzi TLS 1.3.
SSL/TLS spojení je detekováno automaticky (volba auto) nebo vynuceně (enabled) na TCP portu.
Volba auto umožňuje přijímat TCP (nešifrované) i SSL/TLS šifrované spojení na stejném TCP portu.
Pro protokol UDP tato volba nemá žádný význam.
auto/enabled/disabled- Pokud není specifikováno, aplikuje se
auto
* zástupný znak může být příliš široký
Ujistěte se, že zástupný znak * je obalen uvozovkami v YAML "*". Hvězdička bez uvozovek by porušila syntaxi YAML.
Překrývající se IP adresy a porty¶
IP adresy a porty se mohou překrývat. V takovém případě je vybrán nejkonkrétnější shodný. V následujícím příkladu je 25400 shodný s fortinet-fortigate-3, 25100 s fortinet-fortigate-2 a 24000 s fortinet-fortigate-1:
fortinet-fortigate-1:
- ip: "192.168.0.1"
port: 24000-30000
fortinet-fortigate-2:
- ip: "192.168.0.1"
port: 25000-26000
fortinet-fortigate-3:
- ip: "192.168.0.1"
port: 25400
ssl: enabled
Totéž platí pro IP adresy.
Generic stream¶
Pokud není během klasifikace identifikován cílový proud, je protokol přeposlán do proudu generic.
Příklad klasifikace proudu
Představte si, že připojujete nové zdroje protokolů z rozsahu IP adres 192.168.0.0/24.
Bez klasifikátoru jsou události shromažďovány do proudu generic a uloženy v Archivu.
Po prozkoumání proudů v Archivu zjistíte, že existuje zdroj typu logsox.
Klasifikujete proud, abyste ho oddělili od ostatních příchozích dat:
logsox-1:
- ip: "192.168.0.0/24"
Při vytváření pravidel pro analýzu pro proud zjistíte, že příchozí události logsox z IP 192.168.0.68 mají jinou formu než ostatní.
Můžete tento proud izolovat a aplikovat na něj různá pravidla analýzy:
logsox-1:
- ip: "192.168.0.0/24"
logsox-2:
- ip: "192.168.0.68"
Názvy proudů¶
Výběr správného názvu proudu je důležitý, protože TeskaLabs LogMan.io určuje technologii, vybírá správná pravidla analýzy, dashboardy a další obsah na základě názvu proudu.
Aby bylo možné připojit zdroj protokolů, který existuje v Knihovně, a automaticky přiřadit správnou event lane, musí název proudu odpovídat jednomu z šablon event lane umístěných ve složce /Templates/EventLanes/ v Knihovně.
Níže je tabulka, která uvádí názvy proudů používané různými technologiemi při připojení k LogMan.io Collector. Nahraďte hvězdičku "*" na konci názvu proudu libovolným číslem. Například můžete použít čítač (fortinet-fortigate-1, fortinet-fortigate-2, linux-rsyslog-1, ...) nebo číslo portu (fortinet-fortigate-10000, fortinet-fortigate-20000, linux-rsyslog-30000, ...).
| Název technologie | Název proudu |
|---|---|
| Bitdefender GravityZone | bitdefender-gravityzone-* |
| Broadcom Brocade Switch | broadcom-brocade-switch-* |
| Cisco ASA | cisco-asa-* |
| Cisco FTD | cisco-ftd-* |
| Cisco iOS | cisco-ios-* |
| Cisco ISE | cisco-ise-* |
| Cisco Switch Nexus | cisco-switch-nexus-* |
| Cisco WLC | cisco-wlc-* |
| Dell iDRAC | dell-idrac-* |
| Dell PowerVault | dell-powervault-* |
| Dell Switch | dell-switch-* |
| Devolutions Web Server | devolutions-web-server-* |
| EATON UPS | eaton-ups-* |
| ESET Protect | eset-protect-* |
| F5 | f5-* |
| FileZilla | filezilla-* |
| Fortinet FortiClient | fortinet-forticlient-* |
| Fortinet FortiGate | fortinet-fortigate-* |
| Fortinet FortiMail | fortinet-fortimail-* |
| Fortinet FortiSwitch | fortinet-fortiswitch-* |
| Gordic Ginis | gordic-ginis-* |
| Helios | helios-* |
| HPE Aruba ClearPass | hpe-aruba-clearpass-* |
| HPE Aruba IAP | hpe-aruba-iap-* |
| HPE Aruba IAP | hpe-aruba-switch-* |
| HPE iLO | hpe-ilo-* |
| HPE LaserJet Series | hpe-laserjet-* |
| HPE Primera | hpe-primera-* |
| HPE StoreOnce | hpe-storeonce-* |
| IBM QRAD | ibm-qrad-* |
| IceWarp | icewarp-mailserver-* |
| Kubernetes | kubernetes-* |
| Linux Auditd | linux-auditd-* |
| Linux Rsyslog | linux-rsyslog-* |
| Linux Syslog RFC 3164 | linux-syslog-rfc3164-* |
| Linux Syslog RFC 5424 | linux-syslog-rfc5424-* |
| McAfee Webwasher | mcafee-webwasher-* |
| MikroTik | mikrotik-* |
| Minolta Bizhub | minolta-bizhub-* |
| Nginx | nginx-* |
| Ntopng | ntopng-* |
| OpenVPN | openvpn-* |
| Oracle Cloud | oracle-cloud-* |
| Oracle Listener | oracle-listener-* |
| Oracle Spark | oracle-spark-* |
| PfSense | pfsense-* |
| SentinelONE | sentinelone-* |
| Sophos Device Standard Format | sophos-device-standard-format-* |
| Sophos Standard Syslog Protocol | sophos-standard-syslog-protocol-* |
| Sophos Unstructured Format | sophos-unstructured-* |
| Squid Proxy | squid-proxy-* |
| Synology NAS | synology-nas-* |
| Ubiquiti UniFi | ubiquiti-unifi-* |
| Veeam Backup & Replication | veeam-backup-replication-* |
| VMware Cloud Director | vmware-cloud-director-* |
| VMware ESXi | vmware-esxi-* |
| VMware vCenter | vmware-vcenter-* |
| ySoft SafeQ | ysoft-safeq-* |
| ZyXEL Switch | zyxel-switch-* |
Example
Příklad konfigurace tří zdrojů protokolů připojených přes TCP/UDP:
- Dva zdroje Fortinet FortiGate na portech 10000 a 20000
- Jeden zdroj Linux Rsyslog na portu 30000
# Fortinet FortiGate na portu 10000
input:TCP:fortinet-fortigate-1:
address: 10000
output: fortinet-fortigate-1
output:CommLink:fortinet-fortigate-1: {}
# Fortinet FortiGate na portu 20000
input:TCP:fortinet-fortigate-2:
address: 20000
output: fortinet-fortigate-2
output:CommLink:fortinet-fortigate-2: {}
# Linux Rsyslog na portu 30000
input:TCP:linux-rsyslog-1:
address: 30000
output: linux-rsyslog-1
output:CommLink:linux-rsyslog-1: {}