Configurer la surveillance syslog

Syslog est une norme couramment utilisée pour enregistrer les messages d'événement système. La destination de ces messages peut inclure la console système, des fichiers, des serveurs syslog distants ou des relais.

Aperçu

Oracle Logging Analytics vous permet de collecter et d'analyser des données syslog provenant de diverses sources. Il vous suffit de configurer les ports de sortie syslog dans les serveurs syslog. Oracle Logging Analytics surveille ces ports de sortie, accède au contenu syslog distant et effectue l'analyse.

La surveillance Syslog dans Oracle Logging Analytics vous permet d'écouter plusieurs hôtes et ports. Les protocoles pris en charge sont TCP et UDP.

Flux global pour la collecte des journaux Syslog

Voici les tâches générales de collecte des informations de journal à partir de votre hôte :

Installez les agents de gestion sur votre module d'écoute syslog. Voir Configurer la collecte continue des journaux à partir de vos hôtes.

Le module d'écoute syslog est configuré pour recevoir les journaux syslog des instances qui risquent de ne pas s'exécuter sur le même hôte. Toutefois, l'agent installé sur l'hôte du module d'écoute syslog collecte les journaux pour lesquels le module d'écoute est configuré.
Créez l'entité syslog. Voir Créer une entité pour représenter votre ressource émettrice de journaux.
Créer une source Syslog
Associez l'entité syslog à la source. Voir Configurer une nouvelle association source-entité.
Voir les données Syslog

Créer une source Syslog

Oracle Logging Analytics fournit déjà plusieurs sources de journaux définies par Oracle pour la collecte syslog. Vérifiez si vous pouvez utiliser l'une des sources syslog définies par Oracle disponibles et des analyseurs définis par Oracle. Sinon, utilisez les étapes suivantes pour créer une nouvelle source de journaux :

Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Logging Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.

Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.
La page Sources s'ouvre. Cliquez sur Créer une source.

La boîte de dialogue Créer une source s'affiche.
Dans le champ Nom, entrez le nom de la source de journaux.
Dans la liste Type de source, sélectionnez Module d'écoute Syslog.
Cliquez sur Type d'entité et sélectionnez une des variantes de l'hôte comme Host (Linux), Host (Windows), Host (AIX) ou Host (Solaris) comme type d'entité. Il s'agit de l'hôte sur lequel l'agent s'exécute et collecte les journaux. Le module d'écoute syslog est configuré pour recevoir les journaux syslog des instances qui risquent de ne pas s'exécuter sur le même hôte. Toutefois, l'agent installé sur l'hôte du module d'écoute syslog collecte les journaux pour lesquels le module d'écoute est configuré.
Note
- Il est recommandé d'envoyer un maximum de 50 expéditeurs à un seul agent de gestion ou syslog. Pour avoir plus d'expéditeurs, utilisez plus d'agents de gestion.
- Vous devez disposer d'au moins 50 descripteurs de fichier configurés par expéditeur dans le système d'exploitation pour gérer toutes les connexions entrantes possibles que les expéditeurs peuvent ouvrir. Ceci s'ajoute aux descripteurs de fichier nécessaires sur le système d'exploitation à d'autres fins.
Cliquez sur Analyseur et sélectionnez un analyseur approprié.

En général, l'une des variantes d'analyseurs telles que Syslog Standard Format ou Syslog RFC5424 Format est utilisée. Vous pouvez également sélectionner l'un des analyseurs syslog définis par Oracle pour des appareils de réseau spécifiques.

Dans l'onglet Port du module d'écoute, cliquez sur Ajouter pour spécifier les détails du module d'écoute auquel Oracle Logging Analytics va écouter les journaux.

Entrez le port du module d'écoute que vous avez spécifié comme port de sortie dans le fichier de configuration syslog du serveur syslog, puis sélectionnez UDP ou TCP comme protocole requis. Assurez-vous que la case Activé est cochée.

Indication de haut niveau des différences entre les protocoles UDP et TCP qui sont des protocoles réseau standard utilisés dans l'industrie :

UDP	TCP
Réduisez la surcharge sur le système et le réseau, et peut donc gérer plus de trafic que TCP. Il dépend généralement des spécifications du réseau, du système et de la charge de travail, mais est considéré comme plus léger que TCP. Ne garantit pas la livraison. Le périphérique qui envoie des messages syslog à l'agent de gestion les envoie et s'attend à ce qu'un système écoute. Si l'agent est arrêté, ces messages sont perdus. Utilisez-le pour les journaux non critiques, c'est-à-dire les signaux qui peuvent être perdus occasionnellement et qui seront renvoyés de temps en temps.	L'expéditeur doit réellement établir une connexion avec l'agent de gestion avant d'envoyer les messages syslog, de sorte que l'expéditeur sait que l'agent accepte les données utiles. Utilisez cette option pour les journaux importants, tels que la sécurité. TCP gère l'encombrement du réseau et aide à prévenir la perte de messages de journal en raison de la surcharge du réseau. TCP peut gérer des messages de journal plus longs de manière fiable sans risque de troncature.

UDP

TCP

Réduisez la surcharge sur le système et le réseau, et peut donc gérer plus de trafic que TCP. Il dépend généralement des spécifications du réseau, du système et de la charge de travail, mais est considéré comme plus léger que TCP.
Ne garantit pas la livraison. Le périphérique qui envoie des messages syslog à l'agent de gestion les envoie et s'attend à ce qu'un système écoute. Si l'agent est arrêté, ces messages sont perdus.
Utilisez-le pour les journaux non critiques, c'est-à-dire les signaux qui peuvent être perdus occasionnellement et qui seront renvoyés de temps en temps.

L'expéditeur doit réellement établir une connexion avec l'agent de gestion avant d'envoyer les messages syslog, de sorte que l'expéditeur sait que l'agent accepte les données utiles.
Utilisez cette option pour les journaux importants, tels que la sécurité.
TCP gère l'encombrement du réseau et aide à prévenir la perte de messages de journal en raison de la surcharge du réseau.
TCP peut gérer des messages de journal plus longs de manière fiable sans risque de troncature.

Répétez cette étape pour ajouter plusieurs ports de processus d'écoute.

Les ports de processus d'écoute suivants sont utilisés dans les sources de journaux Syslog définies par Oracle :

Source Syslog définie par Oracle	Port du module d'écoute
Journaux Syslog de Palo Alto	`8500`
Journaux du module d'écoute Syslog Symantec Endpoint Protection	`8501`
Journaux du module d'écoute Symantec DLP Syslog	`8502`
Source du module d'écoute Cisco Syslog	`8503`
Source du module d'écoute Syslog QRadar LEEF	`8504`
Journaux F5 Big IP	`8505`
Journaux Syslog SRX Juniper	`8506`
Journaux Citrix NetScaler	`8507`
Journaux Syslog NetApp	`8508`
Journaux Syslog Fortinet	`8509`
Source Syslog ArcSight CEF	`8510`
Journaux Syslog Check Point Firewall LEA	`8511`
Journaux CEF Syslog de Palo Alto	`8512`
Journaux de format CEF Syslog TrendMicro	`8513`
Journaux Syslog du système Symantec Endpoint Protection	`8514`
Journaux F5 Big IP ASM WAF Syslog CEF	`8516`
CyberArk Journaux de format d'événement commun Syslog	`8517`
Source du module d'écoute Syslog du mandataire Squid	`8518`

Cliquez sur Créer une source.

Voir les données Syslog

Vous pouvez utiliser le champ Source de journaux dans le panneau Champs de l'explorateur de journaux dans Oracle Logging Analytics pour voir les données syslog.

Dans l'explorateur de journaux Oracle Logging Analytics, cliquez sur Source dans le panneau Champs.
Dans la boîte de dialogue Filtrer par source, sélectionnez le nom de la source syslog que vous avez créée, puis cliquez sur Appliquer.

Oracle Logging Analytics affiche les données syslog de tous les ports du module d'écoute configurés. Vous pouvez analyser les données syslog de différents hôtes ou périphériques.

Documentation sur Oracle Cloud Infrastructure