Configuración de la supervisión de Syslog

Syslog es un estándar comúnmente utilizado para registrar los mensajes de eventos del sistema. El destino de estos mensajes puede incluir la consola del sistema, los archivos, los servidores syslog remotos o los relés.

Descripción general

Oracle Log Analytics le permite recopilar y analizar datos de syslog de varios orígenes. Solo tiene que configurar los puertos de salida de syslog en los servidores de syslog. Oracle Log Analytics supervisa esos puertos de salida, accede al contenido de syslog remoto y realiza el análisis.

La supervisión de Syslog en Oracle Log Analytics permite escuchar varios hosts y puertos. Los protocolos admitidos son TCP y UDP.

Flujo General para Recopilar Logs de Syslog

A continuación se muestran las tareas de alto nivel para recopilar información del log del host:

Instale Management Agent en el listener de syslog. Consulte Configuración de la recopilación continua de logs mediante Management Agent.

El listener de syslog está configurado para recibir los logs de syslog de instancias que podrían no estar en ejecución en el mismo host. Sin embargo, el agente instalado en el host del listener de syslog recopila esos logs para cuya recopilación está configurado el listener.
Cree la entidad syslog. Consulte Creación de una entidad para representar el recurso que emite logs.
Crear origen de Syslog
Asocie la entidad syslog al origen. Consulte Configuración de una nueva asociación origen-entidad.
Ver datos de Syslog

Crear origen de Syslog

Oracle Log Analytics ya proporciona varios orígenes de log definidos por Oracle para la recopilación de syslog. Compruebe si puede utilizar uno de los orígenes de syslog definidos por Oracle disponibles y los analizadores definidos por Oracle. Si no es así, utilice los siguientes pasos para crear un nuevo origen de log:

Abra el menú de navegación y haga clic en Observación y gestión. En Log Analytics, haga clic en Administración.

Los recursos de administración se muestran en el panel en Administración en la izquierda. Haga clic en Orígenes.
Se abre la página Orígenes. Haga clic en Crear origen.

Aparecerá el cuadro de diálogo Crear origen.
En el campo Nombre, introduzca el nombre del origen de log.
En la lista Tipo de origen, seleccione Listener de Syslog.
Haga clic en Tipo de entidad y seleccione una de las variantes de Host como Host (Linux), Host (Windows), Host (AIX) o Host (Solaris) como tipo de entidad. Este es el host en el que el agente se está ejecutando y recopilando los logs. El listener de syslog está configurado para recibir los logs de syslog de instancias que podrían no estar en ejecución en el mismo host. Sin embargo, el agente instalado en el host del listener de syslog recopila esos logs para cuya recopilación está configurado el listener.
Nota
- Se recomienda enviar un máximo de 50 remitentes a un único agente de gestión o a un syslog. Para tener más remitentes, utilice más agentes de gestión.
- Debe tener al menos 50 manejadores de archivos configurados por remitente en el sistema operativo para manejar todas las posibles conexiones entrantes que los remitentes puedan abrir. Además de los manejadores de archivos necesarios en el sistema operativo para otros fines.
Haga clic en Analizador y seleccione un analizador adecuado.

Normalmente, se usa uno de los analizadores de variante, como Syslog Standard Format o Syslog RFC5424 Format. También puede seleccionar entre los analizadores de syslog definidos por Oracle para dispositivos de red específicos.

En el separador Puerto de listener, haga clic en Agregar para especificar los detalles del listener en el que Oracle Log Analytics recibirá para recopilar los logs.

Introduzca el puerto del listener que ha especificado como puerto de salida en el archivo de configuración de syslog en el servidor syslog y seleccione UDP o TCP como protocolo necesario. Compruebe que se ha activado la casilla de control Enabled.

Indicación de alto nivel de las diferencias entre los protocolos UDP y TCP que son protocolos de red estándar utilizados en la industria:

UDP	TCP
Menor sobrecarga en el sistema y la red y, por lo tanto, puede manejar más tráfico que TCP. Generalmente depende de las especificaciones de la red, el sistema y la carga de trabajo, pero se considera más ligero que TCP. No garantiza la entrega. El dispositivo que envía mensajes de syslog al agente de gestión los envía y espera que un sistema esté escuchando. Si el agente está caído, esos mensajes se pierden. Utilice esto para los logs no críticos, es decir, las señales que se pueden perder ocasionalmente y que se reenviarán cada cierto tiempo.	En realidad, el remitente debe establecer una conexión con el agente de gestión antes de enviar los mensajes de syslog, para que el remitente sepa que el agente está aceptando la carga útil. Utilice esta opción para logs importantes, como la seguridad. TCP gestiona la congestión de la red y ayuda a evitar la pérdida de mensajes de registro debido a la sobrecarga de la red. TCP puede manejar mensajes de log más largos de forma fiable sin el riesgo de truncamiento.

UDP

TCP

Menor sobrecarga en el sistema y la red y, por lo tanto, puede manejar más tráfico que TCP. Generalmente depende de las especificaciones de la red, el sistema y la carga de trabajo, pero se considera más ligero que TCP.
No garantiza la entrega. El dispositivo que envía mensajes de syslog al agente de gestión los envía y espera que un sistema esté escuchando. Si el agente está caído, esos mensajes se pierden.
Utilice esto para los logs no críticos, es decir, las señales que se pueden perder ocasionalmente y que se reenviarán cada cierto tiempo.

En realidad, el remitente debe establecer una conexión con el agente de gestión antes de enviar los mensajes de syslog, para que el remitente sepa que el agente está aceptando la carga útil.
Utilice esta opción para logs importantes, como la seguridad.
TCP gestiona la congestión de la red y ayuda a evitar la pérdida de mensajes de registro debido a la sobrecarga de la red.
TCP puede manejar mensajes de log más largos de forma fiable sin el riesgo de truncamiento.

Repita este paso para agregar varios puertos de listener.

Los siguientes puertos de listener se utilizan en los orígenes de log de Syslog definidos por Oracle:

Origen de Syslog definido por Oracle	Puerto del Listener
Logs de Syslog de Palo Alto	`8500`
Logs del listener de Syslog de protección de punto final de Symantec	`8501`
Logs del listener de Syslog de Symantec DLP	`8502`
Origen de listener de Syslog de Cisco	`8503`
Origen de listener de Syslog de LEEF de QRadar	`8504`
Logs de Big-IP de F5	`8505`
Logs de Syslog de Juniper SRX	`8506`
Logs de Citrix NetScaler	`8507`
Logs de Syslog de NetApp	`8508`
Logs de Syslog de Fortinet	`8509`
Origen de Syslog de ArcSight CEF	`8510`
Logs de comprobación de Syslog de LEA de firewall de punto	`8511`
Logs de CEF de Palo Alto Syslog	`8512`
Logs de formato de evento común de Syslog de TrendMicro	`8513`
Logs de syslog del sistema de protección de punto final de Symantec	`8514`
Logs de F5 Big IP ASM WAF Syslog CEF	`8516`
CyberArk Registros de formato de eventos comunes de Syslog	`8517`
Origen de listener de Syslog de Proxy Squid	`8518`

Haga clic en Crear origen.

Ver datos de Syslog

Puede utilizar el campo Origen de log del panel Campos del explorador de logs en Oracle Log Analytics para ver los datos de syslog.

En el Explorador de logs de Oracle Log Analytics, haga clic en Origen en el panel Campos.
En el cuadro de diálogo Filtrar por origen, seleccione el nombre del origen de syslog que ha creado y haga clic en Aplicar.

Oracle Log Analytics muestra los datos de syslog de todos los puertos del listener configurados. Puede analizar los datos de syslog de diferentes hosts o dispositivos.

Documentación de Oracle Cloud Infrastructure

Configuración de la supervisión de Syslog

Crear origen de Syslog

Ver datos de Syslog