Syslog-Monitoring einrichten

Syslog ist ein häufig verwendeter Standard zum Protokollieren der Systemereignismeldungen. Das Ziel dieser Meldungen kann die Systemkonsole, Dateien, Remote-Syslog-Server oder Relays sein.

Überblick

Mit Oracle Log Analytics können Sie Syslog-Daten aus verschiedenen Quellen erfassen und analysieren. Sie müssen nur die Syslog-Ausgabeports auf den Syslog-Servern konfigurieren. Oracle Log Analytics überwacht diese Ausgabeports, greift auf den Remote-Sysloginhalt zu und führt die Analyse durch.

Mit der Syslog-Überwachung in Oracle Log Analytics können Sie mehrere Hosts und Ports überwachen. Die unterstützten Protokolle sind TCP und UDP.

Gesamtablauf zum Erfassen von Syslog-Logs

Im Folgenden werden die allgemeinen Aufgaben zum Erfassen von Loginformationen von Ihrem Host aufgeführt:

Installieren Sie Management Agents auf dem Syslog Listener. Siehe Kontinuierliche Logerfassung mit Management Agent einrichten.

Der Syslog-Listener ist so konfiguriert, dass er die Syslog-Logs von Instanzen empfängt, die möglicherweise nicht auf demselben Host ausgeführt werden. Der Agent, der auf dem Syslog-Listener-Host installiert ist, erfasst jedoch die Logs, für die der Listener konfiguriert ist.
Erstellen Sie die Syslog-Entity. Siehe Entity zur Darstellung der protokollierenden Ressource erstellen.
Syslog-Quelle erstellen
Ordnen Sie die Syslog-Entity der Quelle zu. Siehe Neue Quellen-Entity-Verknüpfung konfigurieren
Syslog-Daten anzeigen

Syslog-Quelle erstellen

Oracle Log Analytics stellt bereits mehrere von Oracle definierte Logquellen für die Syslog-Erfassung bereit. Prüfen Sie, ob Sie eine der verfügbaren von Oracle definierten Syslog-Quellen und von Oracle definierten Parser verwenden können. Wenn nicht, verwenden Sie die folgenden Schritte, um eine neue Logquelle zu erstellen:

Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.
Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

Das Dialogfeld "Quelle erstellen" wird angezeigt.
Geben Sie im Feld Name den Namen für die Logquelle ein.
Wählen Sie in der Liste Quelltyp die Option Syslog Listener aus.
Klicken Sie auf Entitytyp, und wählen Sie eine der Hostvarianten wie Host, wie Host (Linux), Host (Windows), Host (AIX) oder Host (Solaris) als Entitytyp. Das ist der Host, auf dem der Agent ausgeführt wird und die Logs erfasst. Der Syslog-Listener ist so konfiguriert, dass er die Syslog-Logs von Instanzen empfängt, die möglicherweise nicht auf demselben Host ausgeführt werden. Der Agent, der auf dem Syslog-Listener-Host installiert ist, erfasst jedoch die Logs, für die der Listener konfiguriert ist.
Hinweis
- Es wird empfohlen, maximal 50 Absender an einen einzelnen Management Agent oder ein Syslog zu senden. Verwenden Sie für weitere Absender mehr Management-Agents.
- Sie müssen mindestens 50 Datei-Handle pro Absender im Betriebssystem konfigurieren, um alle möglichen eingehenden Verbindungen zu verarbeiten, die der Absender öffnen kann. Außerdem benötigen Sie weitere Datei-Handles für andere Zwecke auf dem Betriebssystem.
Klicken Sie auf Parser, und wählen Sie einen geeigneten Parser.

Normalerweise wird einer der Variantenparser wie Syslog Standard Format oder Syslog RFC5424 Format verwendet. Sie können auch einen von Oracle definierten Syslog-Parser für bestimmte Netzwerkgeräte auswählen.

Klicken Sie auf der Registerkarte Listener-Port auf Hinzufügen, um die Details des Listeners anzugeben, auf den Oracle Log Analytics horcht, um die Logs zu erfassen.

Geben Sie den Listener-Port ein, den Sie als Ausgabeport in der Syslog-Konfigurationsdatei auf dem Syslog-Server angegeben haben, und wählen Sie entweder UDP oder TCP als erforderliches Protokoll aus. Stellen Sie sicher, dass das Kontrollkästchen Aktiviert aktiviert ist.

Allgemeine Hinweise auf die Unterschiede zwischen UDP- und TCP-Protokollen, die in der Branche Standard-Netzwerkprotokolle sind:

UDP	TCP
Geringerer Overhead im System und Netzwerk und kann daher mehr Datenverkehr verarbeiten als TCP. Er hängt im Allgemeinen von den Spezifikationen von Netzwerk, System und Workload ab, gilt jedoch als leichter als TCP. Garantiert keine Lieferung. Das Gerät, das Syslog-Nachrichten an den Management-Agent sendet, sendet diese und erwartet, dass ein System horcht. Wenn der Agent heruntergefahren ist, gehen diese Nachrichten verloren. Verwenden Sie dies für nicht kritische Protokolle, d.h. Signale, die gelegentlich verloren gehen und so oft erneut gesendet werden.	Der Absender muss tatsächlich eine Verbindung zum Management-Agent herstellen, bevor er die Syslog-Nachrichten sendet, damit der Absender weiß, dass der Agent die Payload akzeptiert. Verwenden Sie diese Option für wichtige Logs, wie Sicherheit. TCP verwaltet Netzwerküberlastung und verhindert den Verlust von Logmeldungen aufgrund einer Überlastung des Netzwerks. TCP kann längere Logmeldungen zuverlässig verarbeiten, ohne dass das Risiko einer Leerung besteht.

UDP

TCP

Geringerer Overhead im System und Netzwerk und kann daher mehr Datenverkehr verarbeiten als TCP. Er hängt im Allgemeinen von den Spezifikationen von Netzwerk, System und Workload ab, gilt jedoch als leichter als TCP.
Garantiert keine Lieferung. Das Gerät, das Syslog-Nachrichten an den Management-Agent sendet, sendet diese und erwartet, dass ein System horcht. Wenn der Agent heruntergefahren ist, gehen diese Nachrichten verloren.
Verwenden Sie dies für nicht kritische Protokolle, d.h. Signale, die gelegentlich verloren gehen und so oft erneut gesendet werden.

Der Absender muss tatsächlich eine Verbindung zum Management-Agent herstellen, bevor er die Syslog-Nachrichten sendet, damit der Absender weiß, dass der Agent die Payload akzeptiert.
Verwenden Sie diese Option für wichtige Logs, wie Sicherheit.
TCP verwaltet Netzwerküberlastung und verhindert den Verlust von Logmeldungen aufgrund einer Überlastung des Netzwerks.
TCP kann längere Logmeldungen zuverlässig verarbeiten, ohne dass das Risiko einer Leerung besteht.

Wiederholen Sie diesen Schritt, um mehrere Listener-Ports hinzuzufügen.

Die folgenden Listener-Ports werden in den von Oracle definierten Syslog-Logquellen verwendet:

Von Oracle definierte Syslog-Quelle	Listener-Port
Palo Alto Syslog Logs	`8500`
Symantec Endpoint Protection Syslog Listener Logs	`8501`
Symantec DLP Syslog Listener Logs	`8502`
Cisco Syslog Listener Source	`8503`
QRadar LEEF Syslog Listener Source	`8504`
F5 Big IP Logs	`8505`
Juniper SRX Syslog Logs	`8506`
Citrix NetScaler-Protokolle	`8507`
NetApp Syslog Logs	`8508`
Fortinet Syslog Logs	`8509`
ArcSight CEF Syslog Source	`8510`
Check Point Firewall LEA Syslog Logs	`8511`
Palo Alto Syslog CEF Logs	`8512`
TrendMicro Syslog Common Event Format Logs	`8513`
Symantec Endpoint Protection System Syslog Logs	`8514`
F5 Big IP ASM WAF Syslog CEF Logs	`8516`
CyberArk Logs für allgemeines Syslog-Ereignisformat	`8517`
Squid Proxy Syslog Listener Source	`8518`

Klicken Sie auf Quelle erstellen.

Syslog-Daten anzeigen

Im Bereich Felder des Log-Explorers in Oracle Log Analytics können Sie das Feld Logquelle verwenden, um Syslogdaten anzuzeigen.

Klicken Sie im Log Explorer von Oracle Log Analytics im Bereich Felder auf Quelle.
Wählen Sie im Dialogfeld Nach Quelle filtern den Namen der erstellten Syslog-Quelle aus, und klicken Sie auf Anwenden.

Oracle Log Analytics zeigt die Syslog-Daten aus allen konfigurierten Listener-Ports an. Sie können Syslog-Daten von verschiedenen Hosts oder Geräten analysieren.

Oracle Cloud Infrastructure-Dokumentation

Syslog-Monitoring einrichten

Syslog-Quelle erstellen

Syslog-Daten anzeigen