Formål
Selvom syslog-protokollen er meget almindelig, oplever nogle kunder udfordringer med at opsætte den korrekt. Denne blogartikel vil give nogle best practices og vejledning gennem sin installationsproces for syslog proxy, herunder konfigurationen af den i LogPoint.
Hvorfor bruge en syslog proxy?
En syslogserver kan nemt opsættes til at videresende logfiler, men en meget grundlæggende konfiguration vil ikke overføre enhedens kilde-IP til LogPoint. Som følge heraf kan nogle identifikationsregler, dashboard og rapporter blive brudt op i LogPoint.
For at løse dette problem er det nødvendigt at implementere en korrekt Syslog Proxy-server, så enhedens kilde-IP-adresse videresendes korrekt til LogPoint-serveren.
Til denne artikel vil vi bruge rsyslog, som er en del af de fleste Linux-distributioner. Konfigurationstrinnene kan udføres på andre syslogservere (f.eks. syslog-ng eller NxLog Enterprise Edition), men de kan kræve en grundig gennemgang af deres tekniske dokumentation.v
Problemformulering
Eksemplet ovenfor viser udfordringen ved at arbejde med en syslog relay-server, der ikke er korrekt konfigureret. Syslog-kilderne ses via en enkelt meget aktiv IP-adresse (syslog-server). Det giver mange udfordringer:
- En enkelt behandlingspolitik skal håndtere alle datakilder
- Styring af normaliseringsregler bliver kompleks. Mange heterogene parsere skal aktiveres, mens nogle af dem kan være modstridende.
- Routingpolitik er vanskelig at konfigurere, især når data skal sendes til forskellige lagre og°tilpasses °forskellige opbevaringspolitikker.
- LogPoint-licensbrug kan ikke overvåges nemt
- Nogle dashboards, rapporter og identifikationsregler fungerer måske ikke som standard og kræver derfor tilpasning og fejlretning.
Der er flere muligheder for at beholde enhedens kilde-IP:
- implementere UDP- eller TCP-systemlogrelæ (Legacy- eller IETF-format)
- implementere syslog UDP-spoofing på rsyslog
I dette diagram er syslog-serveren korrekt konfigureret til at bevare kilde-IP-adressen for hver enkelt enhed langs syslog-serverens IP. Dette gør det muligt at bruge en specifik behandlingspolitik pr. datakilde. Når den er konfigureret, er syslog proxy transparent for LogPoint.
Konfiguration af UDP-spoof på syslog proxyserveren
Formålet med Rsyslogs UDP spoof er at erstatte den oprindelige kilde IP-adresse (rsyslog) med den oprindelige enheds IP-adresse.
Der er mange fordele ved denne tilgang:
- Syslog proxy er helt transparent og kræver ingen specifik konfiguration i LogPoint
- UDP-spoof muliggør meget høj gennemløbshastighed
- Det er ret nemt at opsætte
Men der er også ulemper:
- Nedstrøms datatab kan forekomme på grund af brugen af UDP-protokollen
- UDP-spoofing kan identificeres som en trussel af IDS/IPS- eller NDR-enheder
- UDP°-spoofing°fungerer ikke godt på ruter, der bruger IP Masquerade- eller netværksadresseoversættelse.
Konfigurer UDP- og TCP-indsamling
Det første konfigurationstrin er at sikre, at rsyslogserveren kan modtage opstrømslogger gennem UDP eller TCP.
En enkel måde at opnå dette på er at sikre, at følgende linjer er til stede og kommenteret i /etc/rsyslog.conf :
Konfigurering af UDP spoof forwarding
Før du går videre, skal du sikre dig, at brugen af Syslog UDP ikke er et problem for din kunde eller organisation. UDP er kendt for at være mindre pålidelig og sikker end TCP –
Det første trin er at kontrollere, at syslog proxy-serveren har°rsyslog-°og°omudpspoof°-moduler installeret. Hvis ikke, kan dette løses med nedenstående kommando:
Ikke alle Linux-distributioner har et°omudpspoof°-modul.
På det tidspunkt jeg skriver denne blog, har Fedora og Redhat, hvorimod Ubuntu det fx ikke.
Hvis du ikke kan ændre operativsystemet, er det stadig muligt at downloade rsyslog-kilder og°genopbygge°det fra bunden. Husk, at dette kræver en indsats for at installere og vedligeholde den. Jeg vil anbefale at vælge den rigtige linux-distribution, hvis det er muligt.
Aktivering af UDP-spoof forwarding på syslog proxy-serveren er ligetil. Du skal blot oprette en konfigurationsfil under°/etc/rsyslog.d°med følgende indhold:
/etc/rsyslog.d/99-fwlpspoof.conf
Genstart rsyslog-tjenesten, for at denne konfiguration kan træde i kraft.
Som tidligere nævnt er der ikke behov for nogen specifik konfiguration på LogPoint-serveren,°bortset°fra de sædvanlige erklæringer om enheds-, hentnings- og behandlingspolitik.
Konfiguration af TCP- eller UDP-systemlogrelæ
TCP-syslogrelæet er et meget alsidigt og pålideligt alternativ til UDP-spoof. Der er ingen begrænsninger for videresendelsesprotokollen, og den videresendte syslog kan kopieres med IP Masquerading- og netværksadresseoversættelse, da kildeenhedens IP-tildeling administreres på destinationen af LogPoint.
Konfigurer UDP- og TCP-indsamling
Det første konfigurationstrin er at sikre, at rsyslogserveren kan modtage opstrømslogger gennem UDP eller TCP.
En enkel måde at opnå dette på er at sikre, at følgende linjer er til stede og kommenteret i /etc/rsyslog.conf :
Konfigurer syslog proxy-server
/etc/rsyslog.d/99-fwlpudp.conf
/etc/rsyslog.d/99-fwlptcp.conf
Afhængigt af kravet kan der tages højde for forskellige syslog-formater ved videresendelse af syslogs – nedenstående detaljer er hentet fra RSYSLOG online dokumentation(https://www.RSYSLOG.com/doc/v8-stable/configuration/templates.html):
Konfigurer syslog proxy på LogPoint
Konfigurationen er ret ligetil. Start med at erklære syslog proxy-enheden, og sørg for, at°tidszonen°stemmer overens med enhedens OS-konfiguration.
I næste trin skal du vælge°Syslog Collector
Afkryds til sidst valgmuligheden “Brug som proxy”, og send.
Nu, hvor syslog proxy-enheden er sat op, kan vi erklære de enheder, der skal sende deres logger igennem den.
Udfør følgende trin for hver enhed:
- Opret en enhed
- Definer°navn°og°IP-adresse(r)
- Kontrollér, at°tidszonen°stemmer overens med enhedens OS-konfiguration”
- Vælg°Syslog Collector

- Vælg den relevante°behandlingspolitik°, og markér indstillingen°Bruger proxy°. Vælg derefter°Proxy Server IP°og°Værtsnavn°på den enhed, der skal deklareres.
Et voila! loggene skal rapporteres med den rigtige enheds-IP og tidsstempel på søgeresultaterne.
I eksemplet nedenfor er logger209 på CET, mens logger210 bruger UTC.