Протоколы, используемые для сбора системных журналов: TCP, UDP, RELP

Системные журналы - это журналы, создаваемые устройствами Linux/Unix и другими сетевыми устройствами, такими как коммутаторы, маршрутизаторы и межсетевые экраны. Системные журналы можно централизовать, объединив их на сервере, который называется сервером syslog, демоном syslog или syslogd. Передача системных журналов от устройств к демонам системных журналов происходит с помощью протоколов TCP, UDP и RELP.

Протокол пользовательских датаграмм (UDP)

UDP - это протокол без установления соединения и он ненадежный. Таким образом, сообщения syslog, отправленные демону syslog, не возвращают никаких подтверждений получения. По умолчанию передача системного журнала по протоколу UDP происходит через порт 514. Однако пользователь всегда может изменить этот номер порта.

Как правило, не рекомендуется осуществлять передачу с использованием UDP, поскольку пакеты syslog могут быть неправильно приняты сервером syslog, и может быть потеряна важная информация.

Вам необходимо настроить сервер для работы в качестве демона syslog, включив его для прослушивания UDP-порта 514.

• Откройте файл etc/syslog.conf в терминале.
• Найдите приведенные ниже строки и раскомментируйте их.
  • $ModLoad imudp
  • $UDPServerRun 514
• Перезагрузите компьютер и проверьте, применились ли изменения.

Протокол управления передачей (TCP)

TCP - это ориентированный на подключение и надежный протокол передачи данных, который может использовать тот же порт 514 для отправки сообщений syslog демонам syslog. Протокол TCP используется по умолчанию для передачи данных в инструментах сбора системных журналов, таких как rsyslog и syslog-ng. Syslogd отправляет подтверждение для каждого полученного сообщения syslog. Это гарантирует, что все сообщения syslog будут храниться в одном репозитории.

Можно настроить сервер для работы в качестве демона syslog и включить его для прослушивания TCP-порта 514 с помощью следующих команд.

• Откройте файл etc/syslog.conf в терминале.
• Найдите приведенные ниже строки и раскомментируйте их.
  • $ModLoad imudp
  • $UDPServerRun 514
• Перезагрузите компьютер и проверьте, применились ли изменения.

Протокол надежной регистрации событий (RELP)

RELP, изначально разработанный для связи rsyslog-rsyslog, представляет собой сетевой протокол, который обеспечивает надежную передачу сообщений о событиях к месту назначения. RELP использует TCP для передачи системных журналов. Однако он обеспечивает дополнительную функциональность идентификации сообщений, которые должным образом получены демоном syslog с использованием обратного канала. Обратные каналы могут просматривать сообщения системного журнала, отправляемые с устройств, и одновременно прослушивать их на стороне получателя.

Если во время передачи syslog происходит внезапное прерывание соединения, RELP устраняет неоднозначность относительно того, было ли переданное сообщение получено сервером syslog или нет. Он передает отправителю сообщение о системных журналах, обработанных сервером системных журналов.

Мониторинг системных журналов

Системные журналы содержат важную информацию о событиях, происходящих в вашей сети. Безопасная передача системных журналов в централизованное хранилище и их анализ облегчают устранение неполадок в критических событиях. Хотя можно вручную анализировать системные журналы с помощью grep и других команд, это трудоемкий и утомительный процесс. Автоматизированное решение для управления журналами, такое как EventLog Analyzer, может собирать, анализировать и файлы системных журналов с устройств во всей сети.

EventLog Analyzer также может сопоставлять эти системные журналы с остальными сетевыми журналами и выявлять инциденты и угрозы безопасности в режиме реального времени. Решение предлагает предварительно настроенные отчеты и профили оповещений, которые помогут проводить аудит безопасности и управлять соответствием требованиям. Подробнее о EventLog Analyzer можно узнать здесь.

Что дальше?