Protokoller anvendt til syslog-indsamling: TCP, UDP, RELP

Syslogs er de logfiler, der genereres på Linux/Unix-enheder og andre netværksenheder som switche, routere og firewalls. Syslogs kan centraliseres ved at samle dem på en server, der kaldes en syslog-server, syslog-daemon eller syslogd. Overførsel af syslogs fra enhederne til syslog-daemons sker ved hjælp af TCP-, UDP- og RELP-protokoller.

User Datagram Protocol (UDP)

UDP er en forbindelsesløs og upålidelig protokol. Der returneres ikke nogen kvittering for de syslog-beskeder, der sendes til en syslog-daemon. Som standard sker syslog-transmission via UDP-protokol gennem port 514. Brugeren kan dog altid ændre dette portnummer.

Generelt anbefales det ikke at overføre med UDP, da syslog-pakker måske ikke modtages korrekt på syslog-serveren, og vigtige oplysninger kan gå tabt.

Du skal konfigurere en server til at fungere som syslog-daemon ved at aktivere den til at lytte på UDP-port 514.

• Åbn filen etc/syslog.conf på din terminal.
• Identificer nedenstående direktiver, og fjern kommentartegnene fra dem.
  • $ModLoad imudp
  • $UDPServerRun 514
• Genstart maskinen, og tjek, om ændringerne er anvendt

Transmission Control Protocol (TCP)

TCP er en forbindelsesorienteret og pålidelig transmissionsprotokol, som kan bruge den samme port 514 til at sende syslog-meddelelser til syslog-daemons. TCP bruges som standard til dataoverførsel i syslog-indsamlingsværktøjer som rsyslog og syslog-ng. Syslogd sender en kvittering for hver modtaget syslog-meddelelse. Det sikrer, at alle syslog-meddelelser gemmes i et enkelt lager.

Du kan konfigurere en server til at fungere som syslog-daemon og aktivere den til at lytte på TCP-port-514 med nedenstående kommandoer.

• Åbn filen etc/syslog.conf på din terminal.
• Identificer nedenstående direktiver, og fjern kommentartegnene fra dem.
  • $ModLoad imudp
  • $UDPServerRun 514
• Genstart maskinen, og tjek, om ændringerne er anvendt

Reliable Event Logging Protocol (RELP)

RELP, der oprindeligt blev udviklet til rsyslog-rsyslog-kommunikation, er en netværksprotokol, der hjælper med pålidelig overførsel af meddelelser om hændelser til destinationerne. RELP bruger TCP til transmission af syslogs. Den har dog den ekstra funktionalitet at identificere de meddelelser, der modtages korrekt på syslog-daemonen, via en backchannel. Backchannels kan se de syslog-meddelelser, der sendes fra enheder, og samtidig lytte til dem på modtagerens side.

Hvis forbindelsen pludselig afbrydes under syslog-transmission, løser RELP uklarheden om, hvorvidt en besked undervejs blev modtaget på syslog-serveren eller ej. Den sender en besked tilbage til afsenderen om de syslogs, der allerede er behandlet af syslog-serveren.

Overvågning af syslogs

Syslogs indeholder vigtige oplysninger om hændelser i dit netværk. Ved at sende syslogs sikkert til et centralt sted og analysere dem bliver det lettere at fejlfinde kritiske hændelser. Selvom man kan analysere syslogs manuelt med grep og andre kommandoer, er det tidkrævende og besværligt. En automatiseret løsning til logadministration som EventLog Analyzer kan indsamle, parse og analysere syslogs fra enheder i hele netværket.

EventLog Analyzer kan også sammenholde disse syslogs med resten af netværkets logfiler og identificere sikkerhedshændelser og trusler i realtid. Løsningen har foruddefinerede rapporter og advarselsprofiler, der hjælper dig med overvågning af sikkerheden og administration af compliance. Du kan læse mere om EventLog Analyzer her.

Hvad så nu?