Syfte

Även om syslog-protokollet är mycket vanligt förekommande har vissa kunder problem med att konfigurera det korrekt. I den här bloggartikeln får du information om bästa praxis och handledning genom installationsprocessen för en syslog proxy och dess konfiguration i LogPoint.

Varför använda en syslog proxy?

En syslog-server kan enkelt konfigureras för att vidarebefordra loggar, men en mycket grundläggande konfiguration kommer inte att propagera enhetens IP-källadress till LogPoint. Som ett resultat av detta kan vissa identifieringsregler, dashboards och rapporter vara bristfälliga i LogPoint.

För att lösa detta problem måste Syslog Proxy server implementeras korrekt så att enhetens IP-källadress överförs korrekt till LogPoint-servern.

I den här artikeln använder vi rsyslog som ingår i de flesta Linux-distributioner. Konfigurationsstegen kan göras på andra syslog-servrar (som syslog-ng eller NxLog Enterprise Edition) men kan kräva en grundlig genomgång av dess tekniska dokumentation.

Problemförklaring

Problem statement

Exemplet ovan visar utmaningen att arbeta med en syslog relay server som inte har konfigurerats korrekt. Syslog-källorna visas genom en enda mycket aktiv IP-adress (syslog-server). Detta leder till många utmaningar:

  • En enda behandlingspolicy måste hantera alla datakällor
  • Hanteringen av normaliseringsregler blir komplex. Många heterogena parsers måste vara aktiverade medan vissa av dem kan stå i konflikt med varandra.
  • Routing-policyn är knepig att konfigurera, särskilt när data måste dirigeras till olika datakataloger och uppfylla olika lagringspolicyer.
  • Användningen av LogPoint-licenser är inte enkel att övervaka
  • Vissa dashboards, rapporter och identifieringsregler kanske inte fungerar direkt och kräver därför anpassning och korrigering.

Det finns flera alternativ för att behålla enhetens IP-källadress:

  • implementera syslog relay för UDP eller TCP (Legacy- eller IETF-format)
  • implementera syslog UDP spoofing för rsyslog

diagram

I det här diagrammet har syslog server konfigurerats korrekt för att behålla varje enhets IP-källadress tillsammans med syslog-serverns IP-adress.  Detta gör det möjligt att använda en specifik behandlingspolicy per datakälla. När syslog-proxy väl har konfigurerats är den transparent för LogPoint.

Konfigurera UDP spoof på syslog proxy server

Syftet med UDP spoof i rsyslog är att ersätta den ursprungliga IP-källadressen (rsyslog) med den ursprungliga enhetens IP-adress.

Det finns många fördelar med denna metod:

  • Syslog proxy är helt transparent och kräver ingen specifik konfiguration i LogPoint
  • UDP spoof möjliggör mycket hög genomströmning
  • Det är relativt enkelt att konfigurera

 Men det finns dock nackdelar:

  • Dataförlust nedströms kan inträffa på grund av användning av UDP-protokollet
  • UDP spoofing kan identifieras som ett hot av IDS/IPS eller NDR-enheter
  • UDP spoofing fungerar inte bra på rutter som använder IP Masquerade eller NAT (Network Address Translation).

Konfigurera insamling för UDP och TCP

Det första konfigurationssteget är att säkerställa att rsyslog server kan ta emot loggar uppströms genom UDP eller TCP.

Ett enkelt sätt att åstadkomma detta är att säkerställa att följande rader finns och kommenteras ut i /etc/rsyslog.conf:

https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.conf

Konfigurera UDP spoof forwarding

Innan du fortsätter måste du säkerställa att Syslog UDP inte är ett problem för din kund eller organisation. UDP är känt för att vara mindre tillförlitligt och säkert än TCP –

 Det första steget är att kontrollera att syslog proxy server har modulerna rsyslog och omudpspoof installerade. Om inte, kan detta åtgärdas med nedanstående kommando:

command

Inte alla Linux-distributioner tillhandahåller modulen omudpspoof.

Vid tidpunkten som jag skriver detta blogginlägg har Fedora och Redhat modulen, medan Ubuntu inte har den.

Om du inte kan byta operativsystem går det fortfarande att ladda ner källkoden för rsyslog och kompilera den från grunden. Observera att detta kräver arbetsresurser för att installera och underhålla programmet. Därför rekommenderar jag att du väljer rätt Linux-distribution om möjligt.

Det är enkelt att aktivera UDP spoof forwarding på syslog proxy server. Du behöver bara skapa en konfigurationsfil i katalogen /etc/rsyslog.d med följande innehåll:

 /etc/rsyslog.d/99-fwlpspoof.conf

https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.d/99-fwlpspoof.conf

Starta om tjänsten rsyslog för börja använda denna konfiguration.

Som nämnts tidigare krävs ingen specifik konfiguration på LogPoint-servern förutom de vanliga policydeklarationerna för enhet, fetcher och bearbetning.

Konfigurera syslog relay för TCP eller UDP

TCP syslog relay är ett mångsidigt och tillförlitligt alternativ till UDP spoof. Det finns inga begränsningar för forwarding-protokollet och vidarebefordrad syslog kan hantera IP Masquerading och NAT eftersom källenhetens IP-tilldelning hanteras vid destinationen av LogPoint.

Konfigurera insamling för UDP och TCP

Det första konfigurationssteget är att säkerställa att rsyslog server kan ta emot loggar uppströms genom UDP eller TCP.

Ett enkelt sätt att åstadkomma detta är att säkerställa att följande rader finns och kommenteras ut i /etc/rsyslog.conf

https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.conf

Konfigurera syslog proxy server

/etc/rsyslog.d/99-fwlpudp.conf

https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.d/99-fwlpudp.conf

/etc/rsyslog.d/99-fwlptcp.conf

https://7qkiy1yofpnz20qc4wdcb9t6-wpengine.netdna-ssl.com/etc/rsyslog.d/99-fwlptcp.conf

Beroende på kraven kan olika syslog-format användas vid forwarding av syslog-loggar – informationen nedan har hämtats från onlinedokumentationen för RSYSLOG (https://www.rsyslog.com/doc/v8-stable/configuration/templates.html):

RSYSLOG_SyslogProtocol23Format

Konfigurera syslog proxy i LogPoint

Konfigurationen är relativt enkel. Börja med att deklarera syslog proxy-enheten och kontrollera att Time Zone överensstämmer med enhetens OS-konfiguration.

create_device

I nästa steg väljer du Syslog Collector

Syslog Collector

Markera slutligen alternativet ”Use as Proxy” och bekräfta.

Syslog Collector

Nu när syslog proxy-enheten är konfigurerad kan du deklarera de enheter som ska skicka sina loggar genom den.

Utför följande steg för varje enhet:

  1. Skapa en enhet
  2. Definiera Nameoch IP Address(es)
  3. Kontrollera att Time Zoneöverensstämmer med enhetens OS-konfiguration

create device

  1. Välj Syslog Collector

Syslog Collector

  1. Välj önskad Processing Policyoch välj alternativet Uses Proxy. Välj sedan Proxy Server IPoch Hostname på enheten som deklareras.

syslog collector

Och vips så bör loggarna rapporteras med korrekt IP-enhetsadress och tidsstämpel i sökresultaten.

I exemplet nedan använder logger209 tidszonen CET medan logger210 använder UTC.

logger209 is on CET whereas logger210 uses UTC

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner