Přeskočit obsah

Shromažďování protokolů ze Syslog

Pro shromažďování protokolů z různých Syslog zdrojů poskytuje TeskaLabs LogMan.io Collector možnost nastavit TCP a/nebo UDP příjmový port, který vyhovuje široké škále Syslog protokolů. Můžete jednoduše nakonfigurovat zdroj protokolů (například Linux server nebo síťové zařízení), aby posílal protokoly do kolektoru, obvykle na port 514 (TCP a/nebo UDP) a TeskaLabs LogMan.io Collector tyto protokoly zpracuje.

Tip

Syslog protokol obvykle používá port 514, TCP nebo UDP, ale TeskaLabs LogMan.io Collector může být nakonfigurován také pro použití jiných portů.

Aby bylo možné tuto funkci využít, nakonfigurujte své zdroje protokolů tak, aby přeposílaly protokoly na port 514. TeskaLabs LogMan.io Collector automaticky detekuje původ příchozích dat a podle toho je kategorizuje do proudů (event lanes).

Chytrá klasifikace

TeskaLabs LogMan.io Collector klasifikuje příchozí protokoly pomocí chytré funkce. To umožňuje pohodlnou možnost nakonfigurovat všechny zdroje protokolů tak, aby posílaly protokoly na IP adresu TeskaLabs LogMan.io Collector a na konkrétní port, včetně velmi jednoduché konfigurace síťové cesty.

TeskaLabs LogMan.io Collector používá klasifikační mapu ve své YAML konfiguraci.

Konfigurace

Tento příklad ukazuje konfiguraci TeskaLabs LogMan.io Collector pro použití Syslog a chytrou klasifikaci příchozích protokolů na portu 514 UDP a TCP.

Název proudu je důležitý

Název proudu uvedený v konfiguraci LogMan.io Collector je důležitý. LogMan.io vybírá správná pravidla pro analýzu, obsah a další komponenty související se zdrojem protokolů na základě názvu proudu. Přečtěte si více o názvech proudů zde.

Zde je příklad minimální konfigurace, ve které budou všechny příchozí protokoly odeslány do proudu generic.

classification:
  smart514: &smart514  # YAML ukotvení odkazující na vstupy SmartDatagram a SmartStream

    # Všechny události jsou odeslány do proudu 'generic'
    generic:
      - ip: "*"

# Poslouchá na UDP 514
input:SmartDatagram:UDP514:
  address: 514
  smart: *smart514
  output: smart

# Poslouchá na TCP 514
input:SmartStream:TCP514:
  address: 514
  smart: *smart514
  output: smart

# Připojení k LogMan.io
output:CommLink:smart: {}

Zde je příklad konfigurace se čtyřmi proudy linux-syslog-rfc5424-1, fortinet-fortigate-1, fortinet-fortigate-2 a linux-rsyslog-1 s různými možnostmi, jak můžete klasifikovat příchozí IP adresy, porty a protokoly.

classification:

  smart514: &smart514  # YAML ukotvení odkazující na vstupy SmartDatagram a SmartStream

    linux-syslog-rfc5424-1:    # název proudu

      - ip: "192.168.0.1"      # Jedna IPv4 adresa
        port: 80               # Jediný port
        protocol: TCP          # TCP protokol

      - ip: "2001:db8::1"      # Jedna IPv6 adresa
        port: "1000-2000"      # Rozsah portů
        protocol: UDP          # UDP protokol

    fortinet-fortigate-1:

      - ip: "10.0.0.0/8"       # IPv4 rozsah
        port: 14000
        protocol: UDP

      - ip: "fd00::/8"         # IPv6 rozsah
        port: "*"              # Libovolný port
        protocol: UDP

    fortinet-fortigate-2:

      - ip: "*"                # Libovolná IP adresa
        port: "*"              # Libovolný port
        protocol: UDP

    linux-rsyslog-1:
      - ip: "::1"              # Lokální IP adresy

# Poslouchá na UDP 514
input:SmartDatagram:UDP514:
  address: 514
  smart: *smart514
  output: smart

# Poslouchá na TCP 514
input:SmartStream:TCP514:
  address: 514
  smart: *smart514
  output: smart

# Protokoly jsou přeposílány do LogMan.io pomocí CommLink
output:CommLink:smart: {}

Warning

Chytrá klasifikace funguje pouze s výstupem CommLink.

SmartDatagram a SmartStream

SmartDatagram (pro UDP) a SmartStream (pro TCP) zdroje jsou podobné jako Datagram/TCP a Stream/UDP zdroje, s další možností smart, která odkazuje na příslušnou podsekci v classification.

# Poslouchá na UDP 514
input:SmartDatagram:UDP514:
  address: 514
  smart: *smart514
  output: smart

# Poslouchá na TCP 514
input:SmartStream:TCP514:
  address: 514
  smart: *smart514
  output: smart

Warning

Sekce classification musí být specifikována PŘED sekcemi input:..., jinak není odkaz *smart514 rozpoznán.

Klasifikační mapa

Sekce classification může obsahovat jeden nebo více klasifikátorů.

Každý klasifikátor specifikuje kombinaci rozsahů IP adres, rozsahů portů a protokolů; a převádí je do proudu. Každý protokol, který dorazí do TeskaLabs LogMan.io Collector chytrého syslogu, je porovnán s těmito klasifikátory a výsledný proud je použit jako jeho cíl v LogMan.io. Pokud není nalezen žádný shodný, protokol jde do generic stream (pojmenovaného generic).

Tip

Proud lze nalézt v komponentě Archiv TeskaLabs LogMan.io.

linux-syslog-rfc5424-1:
  - ip: "192.168.0.1"
    port: 80
    protocol: TCP

  - ip: "2001:db8::1"
    port: "1000-2000"
    protocol: UDP

linux-syslog-rfc5424-1 je název proudu.

ip

  • Jedna IPv4/IPv6 adresa: 92.168.0.1, 2001:db8::1
  • Rozsah IPv4/IPv6 adres: 10.0.0.0/8, fd00::/8
  • Zástupný znak * pro všechny IPv4/IPv6 adresy

port

  • Jediný port: 5400
  • Rozsah portů: 4000-8000
  • Pokud není specifikováno nebo *, používá se rozsah 0-65535

protokol

  • TCP / UDP
  • Pokud není specifikováno, používají se oba TCP a UDP

* zástupný znak může být příliš široký

Ujistěte se, že zástupný znak * je obalen uvozovkami v YAML "*". Hvězdička bez uvozovek by porušila syntaxi YAML.

Překrývající se IP adresy a porty

IP adresy a porty se mohou překrývat. V takovém případě je vybrán nejkonkrétnější shodný. V následujícím příkladu je 25400 shodný s fortinet-fortigate-3, 25100 s fortinet-fortigate-2 a 24000 s fortinet-fortigate-1:

fortinet-fortigate-1:
  - ip: "192.168.0.1"
    port: 24000-30000

fortinet-fortigate-2:
  - ip: "192.168.0.1"
    port: 25000-26000

fortinet-fortigate-3:
  - ip: "192.168.0.1"
    port: 25400

Totéž platí pro IP adresy.

Generic stream

Pokud není během klasifikace identifikován cílový proud, je protokol přeposlán do proudu generic.

Příklad klasifikace proudu

Představte si, že připojujete nové zdroje protokolů z rozsahu IP adres 192.168.0.0/24.

Bez klasifikátoru jsou události shromažďovány do proudu generic a uloženy v Archivu.

Po prozkoumání proudů v Archivu zjistíte, že existuje zdroj typu logsox. Klasifikujete proud, abyste ho oddělili od ostatních příchozích dat:

logsox-1:
  - ip: "192.168.0.0/24"

Při vytváření pravidel pro analýzu pro proud zjistíte, že příchozí události logsox z IP 192.168.0.68 mají jinou formu než ostatní. Můžete tento proud izolovat a aplikovat na něj různá pravidla analýzy:

logsox-1:
  - ip: "192.168.0.0/24"

logsox-2:
  - ip: "192.168.0.68"

Názvy proudů

Výběr správného názvu proudu je důležitý, protože TeskaLabs LogMan.io určuje technologii, vybírá správná pravidla analýzy, dashboardy a další obsah na základě názvu proudu.

Aby bylo možné připojit zdroj protokolů, který existuje v Knihovně, a automaticky přiřadit správnou event lane, musí název proudu odpovídat jednomu z šablon event lane umístěných ve složce /Templates/EventLanes/ v Knihovně.

Níže je tabulka, která uvádí názvy proudů používané různými technologiemi při připojení k LogMan.io Collector. Nahraďte hvězdičku "*" na konci názvu proudu libovolným číslem. Například můžete použít čítač (fortinet-fortigate-1, fortinet-fortigate-2, linux-rsyslog-1, ...) nebo číslo portu (fortinet-fortigate-10000, fortinet-fortigate-20000, linux-rsyslog-30000, ...).

Název technologie Název proudu
Bitdefender GravityZone bitdefender-gravityzone-*
Broadcom Brocade Switch broadcom-brocade-switch-*
Cisco ASA cisco-asa-*
Cisco FTD cisco-ftd-*
Cisco iOS cisco-ios-*
Cisco ISE cisco-ise-*
Cisco Switch Nexus cisco-switch-nexus-*
Cisco WLC cisco-wlc-*
Dell iDRAC dell-idrac-*
Dell PowerVault dell-powervault-*
Dell Switch dell-switch-*
Devolutions Web Server devolutions-web-server-*
EATON UPS eaton-ups-*
ESET Protect eset-protect-*
F5 f5-*
FileZilla filezilla-*
Fortinet FortiClient fortinet-forticlient-*
Fortinet FortiGate fortinet-fortigate-*
Fortinet FortiMail fortinet-fortimail-*
Fortinet FortiSwitch fortinet-fortiswitch-*
Gordic Ginis gordic-ginis-*
Helios helios-*
HPE Aruba ClearPass hpe-aruba-clearpass-*
HPE Aruba IAP hpe-aruba-iap-*
HPE Aruba IAP hpe-aruba-switch-*
HPE iLO hpe-ilo-*
HPE LaserJet Series hpe-laserjet-*
HPE Primera hpe-primera-*
HPE StoreOnce hpe-storeonce-*
IBM QRAD ibm-qrad-*
IceWarp icewarp-mailserver-*
Kubernetes kubernetes-*
Linux Auditd linux-auditd-*
Linux Rsyslog linux-rsyslog-*
Linux Syslog RFC 3164 linux-syslog-rfc3164-*
Linux Syslog RFC 5424 linux-syslog-rfc5424-*
McAfee Webwasher mcafee-webwasher-*
MikroTik mikrotik-*
Minolta Bizhub minolta-bizhub-*
Nginx nginx-*
Ntopng ntopng-*
OpenVPN openvpn-*
Oracle Cloud oracle-cloud-*
Oracle Listener oracle-listener-*
Oracle Spark oracle-spark-*
PfSense pfsense-*
SentinelONE sentinelone-*
Sophos Device Standard Format sophos-device-standard-format-*
Sophos Standard Syslog Protocol sophos-standard-syslog-protocol-*
Sophos Unstructured Format sophos-unstructured-*
Squid Proxy squid-proxy-*
Synology NAS synology-nas-*
Ubiquiti UniFi ubiquiti-unifi-*
Veeam Backup & Replication veeam-backup-replication-*
VMware Cloud Director vmware-cloud-director-*
VMware ESXi vmware-esxi-*
VMware vCenter vmware-vcenter-*
ySoft SafeQ ysoft-safeq-*
ZyXEL Switch zyxel-switch-*

Example

Příklad konfigurace tří zdrojů protokolů připojených přes TCP/UDP:

  • Dva zdroje Fortinet FortiGate na portech 10000 a 20000
  • Jeden zdroj Linux Rsyslog na portu 30000
lmio-collector.yaml
# Fortinet FortiGate na portu 10000
input:TCP:fortinet-fortigate-1:
  address: 10000
  output: fortinet-fortigate-1

output:CommLink:fortinet-fortigate-1: {}

# Fortinet FortiGate na portu 20000
input:TCP:fortinet-fortigate-2:
  address: 20000
  output: fortinet-fortigate-2

output:CommLink:fortinet-fortigate-2: {}

# Linux Rsyslog na portu 30000
input:TCP:linux-rsyslog-1:
  address: 30000
  output: linux-rsyslog-1

output:CommLink:linux-rsyslog-1: {}