Syslog-Monitoring einrichten

Syslog ist ein häufig verwendeter Standard zur Protokollierung der Systemereignismeldungen. Das Ziel dieser Meldungen kann die Systemkonsole, Dateien, Remote-Syslog-Server oder Relays enthalten.

Überblick

Mit Oracle Logging Analytics können Sie Syslog-Daten aus verschiedenen Quellen erfassen und analysieren. Sie müssen nur die syslog-Ausgabeports in den Syslog-Servern konfigurieren. Oracle Logging Analytics überwacht diese Ausgabeports, greift auf den Remote-Syslog-Inhalt zu und führt die Analyse durch.

Mit der Syslog-Überwachung in Oracle Logging Analytics können Sie mehrere Hosts und Ports überwachen. Die unterstützten Protokolle sind TCP und UDP.

Gesamtablauf für die Erfassung von Syslog-Logs

Im Folgenden finden Sie die allgemeinen Aufgaben zum Erfassen von Loginformationen von Ihrem Host:

Installieren Sie Management Agents auf Ihrem syslog-Listener. Siehe Kontinuierliche Logerfassung von Ihren Hosts einrichten.

Der Syslog-Listener ist so konfiguriert, dass er die Syslog-Logs von Instanzen empfängt, die möglicherweise nicht auf demselben Host ausgeführt werden. Der Agent, der auf dem Syslog-Listener-Host installiert ist, erfasst jedoch die Logs, für die der Listener konfiguriert ist.
Erstellen Sie die Syslog-Entity. Siehe Entity zur Darstellung der logausgebenden Ressource erstellen.
Syslog-Quelle erstellen
Ordnen Sie die Syslog-Entity der Quelle zu. Siehe Neue Quellen-Entity-Verknüpfung konfigurieren
Syslog-Daten anzeigen

Syslog-Quelle erstellen

Oracle Logging Analytics stellt bereits mehrere von Oracle definierte Logquellen für die Syslog-Erfassung bereit. Prüfen Sie, ob Sie eine der verfügbaren von Oracle definierten Syslogquellen und von Oracle definierten Parser verwenden können. Falls nicht, führen Sie die folgenden Schritte aus, um eine neue Logquelle zu erstellen:

Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.

Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.
Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.

Das Dialogfeld "Quelle erstellen" wird angezeigt.
Geben Sie im Feld Name den Namen der Logquelle ein.
Wählen Sie in der Liste Quelltyp die Option Syslog-Listener aus.
Klicken Sie auf Entitytyp, und wählen Sie eine der Varianten von Host wie Host (Linux), Host (Windows), Host (AIX) oder Host (Solaris) als Entitytyp aus. Das ist der Host, auf dem der Agent ausgeführt wird und die Logs erfasst. Der Syslog-Listener ist so konfiguriert, dass er die Syslog-Logs von Instanzen empfängt, die möglicherweise nicht auf demselben Host ausgeführt werden. Der Agent, der auf dem Syslog-Listener-Host installiert ist, erfasst jedoch die Logs, für die der Listener konfiguriert ist.
Hinweis
- Es wird empfohlen, maximal 50 Absender an einen einzelnen Management Agent oder ein Syslog zu senden. Verwenden Sie für weitere Absender mehr Management-Agents.
- Sie müssen mindestens 50 Datei-Handle pro Absender im Betriebssystem konfigurieren, um alle möglichen eingehenden Verbindungen zu verarbeiten, die der Absender öffnen kann. Außerdem benötigen Sie weitere Datei-Handles für andere Zwecke auf dem Betriebssystem.
Klicken Sie auf Parser, und wählen Sie einen geeigneten Parser aus.

In der Regel wird einer der Variantenparser wie Syslog Standard Format oder Syslog RFC5424 Format verwendet. Sie können auch einen von Oracle definierten Syslog-Parser für bestimmte Netzwerkgeräte auswählen.

Klicken Sie auf der Registerkarte Listener-Port auf Hinzufügen, um die Details des Listeners anzugeben, auf den Oracle Logging Analytics die Logs erfasst.

Geben Sie den Listener-Port ein, den Sie als Ausgabeport in der Syslog-Konfigurationsdatei auf dem Syslog-Server angegeben haben, und wählen Sie entweder UDP oder TCP als erforderliches Protokoll aus. Stellen Sie sicher, dass das Kontrollkästchen Aktiviert aktiviert ist.

Allgemeine Hinweise auf die Unterschiede zwischen UDP- und TCP-Protokollen, die in der Branche Standard-Netzwerkprotokolle sind:

UDP	TCP
Geringerer Overhead im System und Netzwerk und kann daher mehr Datenverkehr verarbeiten als TCP. Er hängt im Allgemeinen von den Spezifikationen von Netzwerk, System und Workload ab, gilt jedoch als leichter als TCP. Garantiert keine Lieferung. Das Gerät, das Syslog-Nachrichten an den Management-Agent sendet, sendet diese und erwartet, dass ein System horcht. Wenn der Agent heruntergefahren ist, gehen diese Nachrichten verloren. Verwenden Sie dies für nicht kritische Protokolle, d.h. Signale, die gelegentlich verloren gehen und so oft erneut gesendet werden.	Der Absender muss tatsächlich eine Verbindung zum Management-Agent herstellen, bevor er die Syslog-Nachrichten sendet, damit der Absender weiß, dass der Agent die Payload akzeptiert. Verwenden Sie diese Option für wichtige Logs, wie Sicherheit. TCP verwaltet Netzwerküberlastung und verhindert den Verlust von Logmeldungen aufgrund einer Überlastung des Netzwerks. TCP kann längere Logmeldungen zuverlässig verarbeiten, ohne dass das Risiko einer Leerung besteht.

UDP

TCP

Geringerer Overhead im System und Netzwerk und kann daher mehr Datenverkehr verarbeiten als TCP. Er hängt im Allgemeinen von den Spezifikationen von Netzwerk, System und Workload ab, gilt jedoch als leichter als TCP.
Garantiert keine Lieferung. Das Gerät, das Syslog-Nachrichten an den Management-Agent sendet, sendet diese und erwartet, dass ein System horcht. Wenn der Agent heruntergefahren ist, gehen diese Nachrichten verloren.
Verwenden Sie dies für nicht kritische Protokolle, d.h. Signale, die gelegentlich verloren gehen und so oft erneut gesendet werden.

Der Absender muss tatsächlich eine Verbindung zum Management-Agent herstellen, bevor er die Syslog-Nachrichten sendet, damit der Absender weiß, dass der Agent die Payload akzeptiert.
Verwenden Sie diese Option für wichtige Logs, wie Sicherheit.
TCP verwaltet Netzwerküberlastung und verhindert den Verlust von Logmeldungen aufgrund einer Überlastung des Netzwerks.
TCP kann längere Logmeldungen zuverlässig verarbeiten, ohne dass das Risiko einer Leerung besteht.

Wiederholen Sie diesen Schritt, um mehrere Listener-Ports hinzuzufügen.

Die folgenden Listener-Ports werden in den von Oracle definierten Syslog-Logquellen verwendet:

Von Oracle definierte Syslog-Quelle	Listener Port
Palo Alto Syslog Logs	`8500`
Symantec Endpoint Protection Syslog Listener Logs	`8501`
Symantec DLP Syslog Listener Logs	`8502`
Cisco Syslog Listener Source	`8503`
QRadar LEEF Syslog Listener Source	`8504`
F5 Big IP Logs	`8505`
Juniper SRX Syslog Logs	`8506`
Citrix NetScaler-Logs	`8507`
NetApp Syslog Logs	`8508`
Fortinet Syslog Logs	`8509`
ArcSight CEF Syslog Source	`8510`
Check Point Firewall LEA Syslog Logs	`8511`
Palo Alto Syslog CEF Logs	`8512`
TrendMicro Syslog Common Event Format Logs	`8513`
Symantec Endpoint Protection System Syslog Logs	`8514`
F5 Big IP ASM WAF Syslog CEF Logs	`8516`
CyberArk Syslog - Allgemeine Ereignisformatlogs	`8517`
Squid Proxy Syslog Listener Source	`8518`

Klicken Sie auf Quelle erstellen.

Syslog-Daten anzeigen

Mit dem Feld Logquelle im Bereich Felder des Log Explorer in Oracle Logging Analytics können Sie Syslog-Daten anzeigen.

Klicken Sie im Log Explorer von Oracle Logging Analytics im Bereich Felder auf Quelle.
Wählen Sie im Dialogfeld Nach Quelle filtern den Namen der erstellten Syslog-Quelle aus, und klicken Sie auf Anwenden.

Oracle Logging Analytics zeigt die Syslog-Daten aus allen konfigurierten Listener-Ports an. Sie können Syslog-Daten von verschiedenen Hosts oder Geräten analysieren.

Oracle Cloud Infrastructure-Dokumentation