Implementering av syslog proxy som överensstämmer med LogPoint

Syfte

Även om syslog-protokollet är mycket vanligt förekommande har vissa kunder problem med att konfigurera det korrekt. I den här bloggartikeln får du information om bästa praxis och handledning genom installationsprocessen för en syslog proxy och dess konfiguration i LogPoint.

Varför använda en syslog proxy?

En syslog-server kan enkelt konfigureras för att vidarebefordra loggar, men en mycket grundläggande konfiguration kommer inte att propagera enhetens IP-källadress till LogPoint. Som ett resultat av detta kan vissa identifieringsregler, dashboards och rapporter vara bristfälliga i LogPoint.

För att lösa detta problem måste Syslog Proxy server implementeras korrekt så att enhetens IP-källadress överförs korrekt till LogPoint-servern.

I den här artikeln använder vi rsyslog som ingår i de flesta Linux-distributioner. Konfigurationsstegen kan göras på andra syslog-servrar (som syslog-ng eller NxLog Enterprise Edition) men kan kräva en grundlig genomgång av dess tekniska dokumentation.

Problemförklaring

Exemplet ovan visar utmaningen att arbeta med en syslog relay server som inte har konfigurerats korrekt. Syslog-källorna visas genom en enda mycket aktiv IP-adress (syslog-server). Detta leder till många utmaningar:

En enda behandlingspolicy måste hantera alla datakällor
Hanteringen av normaliseringsregler blir komplex. Många heterogena parsers måste vara aktiverade medan vissa av dem kan stå i konflikt med varandra.
Routing-policyn är knepig att konfigurera, särskilt när data måste dirigeras till olika datakataloger och uppfylla olika lagringspolicyer.
Användningen av LogPoint-licenser är inte enkel att övervaka
Vissa dashboards, rapporter och identifieringsregler kanske inte fungerar direkt och kräver därför anpassning och korrigering.

Det finns flera alternativ för att behålla enhetens IP-källadress:

implementera syslog relay för UDP eller TCP (Legacy- eller IETF-format)
implementera syslog UDP spoofing för rsyslog

I det här diagrammet har syslog server konfigurerats korrekt för att behålla varje enhets IP-källadress tillsammans med syslog-serverns IP-adress. Detta gör det möjligt att använda en specifik behandlingspolicy per datakälla. När syslog-proxy väl har konfigurerats är den transparent för LogPoint.

Konfigurera UDP spoof på syslog proxy server

Syftet med UDP spoof i rsyslog är att ersätta den ursprungliga IP-källadressen (rsyslog) med den ursprungliga enhetens IP-adress.

Det finns många fördelar med denna metod:

Syslog proxy är helt transparent och kräver ingen specifik konfiguration i LogPoint
UDP spoof möjliggör mycket hög genomströmning
Det är relativt enkelt att konfigurera

Men det finns dock nackdelar:

Dataförlust nedströms kan inträffa på grund av användning av UDP-protokollet
UDP spoofing kan identifieras som ett hot av IDS/IPS eller NDR-enheter
UDP spoofing fungerar inte bra på rutter som använder IP Masquerade eller NAT (Network Address Translation).

Konfigurera insamling för UDP och TCP

Det första konfigurationssteget är att säkerställa att rsyslog server kan ta emot loggar uppströms genom UDP eller TCP.

Ett enkelt sätt att åstadkomma detta är att säkerställa att följande rader finns och kommenteras ut i /etc/rsyslog.conf:

Konfigurera UDP spoof forwarding

Innan du fortsätter måste du säkerställa att Syslog UDP inte är ett problem för din kund eller organisation. UDP är känt för att vara mindre tillförlitligt och säkert än TCP –

Det första steget är att kontrollera att syslog proxy server har modulerna rsyslog och omudpspoof installerade. Om inte, kan detta åtgärdas med nedanstående kommando:

Inte alla Linux-distributioner tillhandahåller modulen omudpspoof.

Vid tidpunkten som jag skriver detta blogginlägg har Fedora och Redhat modulen, medan Ubuntu inte har den.

Om du inte kan byta operativsystem går det fortfarande att ladda ner källkoden för rsyslog och kompilera den från grunden. Observera att detta kräver arbetsresurser för att installera och underhålla programmet. Därför rekommenderar jag att du väljer rätt Linux-distribution om möjligt.

Det är enkelt att aktivera UDP spoof forwarding på syslog proxy server. Du behöver bara skapa en konfigurationsfil i katalogen /etc/rsyslog.d med följande innehåll:

/etc/rsyslog.d/99-fwlpspoof.conf

Starta om tjänsten rsyslog för börja använda denna konfiguration.

Som nämnts tidigare krävs ingen specifik konfiguration på LogPoint-servern förutom de vanliga policydeklarationerna för enhet, fetcher och bearbetning.

Konfigurera syslog relay för TCP eller UDP

TCP syslog relay är ett mångsidigt och tillförlitligt alternativ till UDP spoof. Det finns inga begränsningar för forwarding-protokollet och vidarebefordrad syslog kan hantera IP Masquerading och NAT eftersom källenhetens IP-tilldelning hanteras vid destinationen av LogPoint.

Konfigurera insamling för UDP och TCP

Det första konfigurationssteget är att säkerställa att rsyslog server kan ta emot loggar uppströms genom UDP eller TCP.

Ett enkelt sätt att åstadkomma detta är att säkerställa att följande rader finns och kommenteras ut i /etc/rsyslog.conf:

Konfigurera syslog proxy server

/etc/rsyslog.d/99-fwlpudp.conf

/etc/rsyslog.d/99-fwlptcp.conf

Beroende på kraven kan olika syslog-format användas vid forwarding av syslog-loggar – informationen nedan har hämtats från onlinedokumentationen för RSYSLOG (https://www.rsyslog.com/doc/v8-stable/configuration/templates.html):

Konfigurera syslog proxy i LogPoint

Konfigurationen är relativt enkel. Börja med att deklarera syslog proxy-enheten och kontrollera att Time Zone överensstämmer med enhetens OS-konfiguration.