Syslog toplama için kullanılan protokoller - TCP, UDP, RELP

Syslog'lar, Linux/Unix cihazları ile anahtarlar, yönlendiriciler ve güvenlik duvarları gibi diğer ağ cihazlarından oluşturulan günlüklerdir. Syslog'lar syslog sunucusu, syslog daemon veya syslogd adı verilen bir sunucuda toplanarak merkezi bir biçimde sunulabilir. Syslog'ların cihazlardan syslog daemon'larına iletimi TCP, UDP ve RELP protokollerinin yardımıyla gerçekleşir.

Kullanıcı Datagram Protokolü (UDP)

UDP bağlantısız ve güvenilir olmayan bir protokoldür. Bu nedenle, syslog daemon'ına gönderilen syslog mesajları karşılığında bir alındı ​​onayı verilmez. Varsayılan olarak, UDP protokolü üzerinden syslog iletimi, bağlantı noktası 514 üzerinden gerçekleştirilir. Ancak, kullanıcı bu bağlantı noktasını dilediği her zaman değiştirebilir.

Syslog paketleri syslog sunucusunda düzgün bir şekilde alınmayabileceğinden ve kritik önem taşıyan bilgiler kaybolabileceğinden, genellikle UDP kullanarak iletim yapılması önerilmez.

Bir sunucuyu, UDP bağlantı noktası 514'ü dinlemesini mümkün kılarak syslog daemon'ı gibi davranacak biçimde yapılandırmanız gerekir.

• Terminalinizde etc/syslog.conf dosyasını açın.
• Aşağıdaki ifadeleri belirleyin ve bunlara dair yorumları kaldırın.
  • $ModLoad imudp
  • $UDPServerRun 514
• Makineyi yeniden başlatın ve değişikliklerin uygulanıp uygulanmadığını kontrol edin

İletim Denetimi Protokolü (TCP)

TCP, syslog mesajlarını syslog daemon'larına göndermek için aynı şekilde bağlantı noktası 514'ü kullanabilen bağlantı odaklı ve güvenilir bir iletim protokolüdür. TCP, rsyslog ve syslog-ng gibi syslog toplama araçlarında veri iletimi için varsayılan olarak kullanılır. Syslogd, alınan her syslog mesajı için bir onay gönderir. Bu, tüm syslog mesajlarının tek bir depolama alanında saklanabilmesini sağlar.

Aşağıdaki komutları kullanarak bir sunucuyu syslog daemon'ı gibi davranacak biçimde yapılandırabilir ve TCP bağlantı noktası 514'ü dinlemesini mümkün kılabilirsiniz.

• Terminalinizde etc/syslog.conf dosyasını açın.
• Aşağıdaki ifadeleri belirleyin ve bunlara dair yorumları kaldırın.
• $ModLoad imudp
• $UDPServerRun 514
• Makineyi yeniden başlatın ve değişikliklerin uygulanıp uygulanmadığını kontrol edin

Güvenilir Olay Günlük Kaydı Protokolü (RELP)

İlk olarak rsyslog-rsyslog iletişimi için geliştirilmiş olan RELP, olay mesajlarının hedeflere güvenilir bir biçimde iletilmesine yardımcı olan bir ağ protokolüdür. RELP, syslog'ların iletimi için TCP'yi kullanır. Ancak, bir arka kanalın kullanılmasıyla ek olarak, syslog daemon'unda uygun biçimde alınmış olan mesajları tanımlama işlevselliğini sağlar. Arka kanallar, cihazlardan gönderilen syslog mesajlarını görüntüleyebilir ve bunları eşzamanlı olarak alıcı tarafta dinleyebilir.

Syslog iletimi sırasında bir bağlantı aniden sonlandırılırsa, RELP, iletim aşamasında olan mesajın syslog sunucusunda alınıp alınmadığı konusundaki belirsizliği çözer. Gönderene syslog sunucusu tarafından işlenen syslog'lar hakkında bir mesaj aktarır.

Syslog'ları izleme

Syslog'lar, ağınızda gerçekleştirilen olaylar hakkında kritik önem taşıyan bilgiler içerir. Syslog'ların güvenli bir şekilde merkezi bir konuma iletilmesi ve analiz edilmesi, kritik olaylarda sorun giderme yapılmasını kolaylaştırır. Syslog'ları grep komutu ve diğer komutların kullanımı yoluyla manuel olarak analiz etmek mümkündür ancak bu yorucu bir işlemdir ve zaman alır. EventLog Analyzer gibi otomatik bir günlük yönetimi çözümü, ağ genelindeki cihazlardan syslog'ları toplayabilir, ayrıştırabilir ve analiz edebilir.

EventLog Analyzer'ın bu syslog'ları başka ağ günlükleriyle ilişkilendirmesi ve güvenlik olayları ile tehditleri gerçek zamanlı olarak tanımlayabilmesi de mümkündür. Çözüm, güvenlik denetimi ve uyumluluk yönetimi konusunda size yardımcı olacak önceden tanımlanmış raporlar ve uyarı profilleri sunar. Buradan EventLog Analyzer hakkında daha fazla bilgi edinebilirsiniz.

Sırada ne var?