Configuración de la supervisión de Syslog

Syslog es un estándar comúnmente utilizado para registrar los mensajes de eventos del sistema. El destino de estos mensajes puede incluir la consola del sistema, los archivos, los servidores syslog remotos o los relés.

Visión General

Oracle Logging Analytics permite recopilar y analizar datos de syslog de varios orígenes. Solo tiene que configurar los puertos de salida de syslog en los servidores de syslog. Oracle Logging Analytics supervisa esos puertos de salida, accede al contenido de syslog remoto y realiza el análisis.

La supervisión de Syslog en Oracle Logging Analytics permite escuchar varios hosts y puertos. Los protocolos admitidos son TCP y UDP.

Flujo General para Recopilar Logs de Syslog

A continuación se muestran las tareas de alto nivel para recopilar información de log del host:

Instale Management Agent en el listener de syslog. Consulte Configuración de la recopilación continua de logs desde los hosts.

El listener de syslog está configurado para recibir los logs de syslog de instancias que podrían no estar en ejecución en el mismo host. Sin embargo, el agente instalado en el host del listener de syslog recopila esos logs para cuya recopilación está configurado el listener.
Cree la entidad syslog. Consulte Creación de una entidad que represente su recurso emisor de logs.
Crear origen de Syslog
Asocie la entidad syslog con el origen. Consulte Configuración de una nueva asociación origen-entidad.
Ver datos de Syslog

Crear origen de Syslog

Oracle Logging Analytics ya proporciona varios orígenes de log definidos por Oracle para la recopilación de syslog. Compruebe si puede utilizar uno de los orígenes de syslog definidos por Oracle y los analizadores definidos por Oracle disponibles. Si no es así, utilice los siguientes pasos para crear un nuevo origen de log:

Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.

Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.
Se abre la página Orígenes. Haga clic en Crear origen.

Aparecerá el cuadro de diálogo Crear origen.
En el campo Nombre, introduzca el nombre del origen de log.
En la lista Tipo de origen, seleccione Listener de Syslog.
Haga clic en Tipo de entidad y seleccione una de las variantes de Host como Host (Linux), Host (Windows), Host (AIX) o Host (Solaris) como tipo de entidad. Este es el host en el que el agente se está ejecutando y recopilando los logs. El listener de syslog está configurado para recibir los logs de syslog de instancias que podrían no estar en ejecución en el mismo host. Sin embargo, el agente instalado en el host del listener de syslog recopila esos logs para cuya recopilación está configurado el listener.
Nota
- Se recomienda enviar un máximo de 50 remitentes a un único agente de gestión o a un syslog. Para tener más remitentes, utilice más agentes de gestión.
- Debe tener al menos 50 manejadores de archivos configurados por remitente en el sistema operativo para manejar todas las posibles conexiones entrantes que los remitentes puedan abrir. Además de los manejadores de archivos necesarios en el sistema operativo para otros fines.
Haga clic en Analizador y seleccione un analizador adecuado.

Normalmente, se utiliza uno de los analizadores de variante, como Syslog Standard Format o Syslog RFC5424 Format. También puede seleccionar entre los analizadores de syslog definidos por Oracle para dispositivos de red específicos.

En el separador Puerto de listener, haga clic en Agregar para especificar los detalles del listener al que recibirá Oracle Logging Analytics para recopilar los logs.

Introduzca el puerto del listener que ha especificado como puerto de salida en el archivo de configuración de syslog en el servidor syslog y seleccione UDP o TCP como protocolo necesario. Compruebe que se ha activado la casilla de control Enabled.

Indicación de alto nivel de las diferencias entre los protocolos UDP y TCP que son protocolos de red estándar utilizados en la industria:

UDP	TCP
Menor sobrecarga en el sistema y la red y, por lo tanto, puede manejar más tráfico que TCP. Generalmente depende de las especificaciones de la red, el sistema y la carga de trabajo, pero se considera más ligero que TCP. No garantiza la entrega. El dispositivo que envía mensajes de syslog al agente de gestión los envía y espera que un sistema esté escuchando. Si el agente está caído, esos mensajes se pierden. Utilice esto para los logs no críticos, es decir, las señales que se pueden perder ocasionalmente y que se reenviarán cada cierto tiempo.	En realidad, el remitente debe establecer una conexión con el agente de gestión antes de enviar los mensajes de syslog, para que el remitente sepa que el agente está aceptando la carga útil. Utilice esta opción para logs importantes, como la seguridad. TCP gestiona la congestión de la red y ayuda a evitar la pérdida de mensajes de registro debido a la sobrecarga de la red. TCP puede manejar mensajes de log más largos de forma fiable sin el riesgo de truncamiento.

UDP

TCP

Menor sobrecarga en el sistema y la red y, por lo tanto, puede manejar más tráfico que TCP. Generalmente depende de las especificaciones de la red, el sistema y la carga de trabajo, pero se considera más ligero que TCP.
No garantiza la entrega. El dispositivo que envía mensajes de syslog al agente de gestión los envía y espera que un sistema esté escuchando. Si el agente está caído, esos mensajes se pierden.
Utilice esto para los logs no críticos, es decir, las señales que se pueden perder ocasionalmente y que se reenviarán cada cierto tiempo.

En realidad, el remitente debe establecer una conexión con el agente de gestión antes de enviar los mensajes de syslog, para que el remitente sepa que el agente está aceptando la carga útil.
Utilice esta opción para logs importantes, como la seguridad.
TCP gestiona la congestión de la red y ayuda a evitar la pérdida de mensajes de registro debido a la sobrecarga de la red.
TCP puede manejar mensajes de log más largos de forma fiable sin el riesgo de truncamiento.

Repita este paso para agregar varios puertos de listener.

Los siguientes puertos de listener se utilizan en los orígenes de log de Syslog definidos por Oracle:

Origen de Syslog Definido por Oracle	Puerto de listener
Logs de Syslog de Palo Alto	`8500`
Logs del listener de Syslog de protección de punto final de Symantec	`8501`
Logs del listener de Syslog de Symantec DLP	`8502`
Origen de listener de Syslog de Cisco	`8503`
Origen de listener de Syslog de LEEF de QRadar	`8504`
Logs de Big-IP de F5	`8505`
Logs de Syslog de Juniper SRX	`8506`
Logs de NetScaler de Citrix	`8507`
Logs de Syslog de NetApp	`8508`
Logs de Syslog de Fortinet	`8509`
Origen de Syslog de ArcSight CEF	`8510`
Logs de comprobación de Syslog de LEA de firewall de punto	`8511`
Logs de CEF de Palo Alto Syslog	`8512`
Logs de formato de evento común de Syslog de TrendMicro	`8513`
Logs de syslog del sistema de protección de punto final de Symantec	`8514`
Logs de F5 Big IP ASM WAF Syslog CEF	`8516`
CyberArk Logs de formato de evento común de Syslog	`8517`
Origen de listener de Syslog de Proxy Squid	`8518`

Haga clic en Crear origen.

Ver datos de Syslog

Puede utilizar el campo Origen de log del panel Campos del explorador de logs de Oracle Logging Analytics para ver los datos de syslog.

En el Explorador de logs de Oracle Logging Analytics, haga clic en Origen en el panel Campos.
En el cuadro de diálogo Filtrar por origen, seleccione el nombre del origen de syslog que ha creado y haga clic en Aplicar.

Oracle Logging Analytics muestra los datos de syslog de todos los puertos de listener configurados. Puede analizar datos de syslog de diferentes hosts o dispositivos.

Documentación de Oracle Cloud Infrastructure