Configuration de la surveillance Syslog

Syslog est une norme couramment utilisée pour la journalisation des messages d'événement système. La destination de ces messages peut inclure la console système, les fichiers, les serveurs syslog distants ou les relais.

Aperçu

Oracle Logging Analytics permet de collecter et d'analyser des données syslog à partir de différentes sources. Il vous suffit de configurer les ports de sortie syslog dans les serveurs syslog. Oracle Logging Analytics surveille ces ports de sortie, accède au contenu syslog distant et effectue l'analyse.

La surveillance Syslog dans Oracle Logging Analytics vous permet d'écouter plusieurs hôtes et ports. Les protocoles pris en charge sont TCP et UDP.

Flux global de collecte des journaux Syslog

Voici les tâches de haut niveau pour la collecte des informations de journal à partir de votre hôte :

Installez les agents de gestion sur le processus d'écoute syslog. Reportez-vous à Configuration de la collecte continue de journaux à partir des hôtes.

Le processus d'écoute syslog est configuré pour recevoir les journaux syslog des instances susceptibles de ne pas être exécutées sur le même hôte. Toutefois, l'agent installé sur l'hôte du processus d'écoute syslog collecte les journaux que le processus d'écoute est configuré pour collecter.
Créez l'entité syslog. Reportez-vous à Création d'une entité pour représenter la ressource émettrice de journal.
Créer une source Syslog
Associez l'entité syslog à la source. Reportez-vous à Configuration d'une nouvelle association source-entité.
Afficher les données Syslog

Créer une source Syslog

Oracle Logging Analytics fournit déjà plusieurs sources de journal définies par Oracle pour la collecte syslog. Vérifiez si vous pouvez utiliser l'une des sources syslog définies par Oracle et les analyseurs définis par Oracle disponibles. Sinon, procédez comme suit pour créer une source de journal :

Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Logging Analytics, cliquez sur Administration. La page Présentation de l'administration apparaît.

Les ressources d'administration sont répertoriées dans le panneau de navigation de gauche sous Ressources. Cliquez sur Sources.
La page Sources apparaît. Cliquez sur Créer une source.

La boîte de dialogue Créer une source apparaît.
Dans le champ Nom, saisissez le nom de la source de journal.
Dans la liste Type de source, sélectionnez Processus d'écoute Syslog.
Cliquez sur Type d'entité et sélectionnez l'une des variantes de l'hôte, telles que Host (Linux), Host (Windows), Host (AIX) ou Host (Solaris), comme type d'entité. Il s'agit de l'hôte sur lequel l'agent est exécuté et collecte les journaux. Le processus d'écoute syslog est configuré pour recevoir les journaux syslog des instances susceptibles de ne pas être exécutées sur le même hôte. Toutefois, l'agent installé sur l'hôte du processus d'écoute syslog collecte les journaux que le processus d'écoute est configuré pour collecter.
Remarque
- Il est recommandé d'envoyer un maximum de 50 expéditeurs à un même agent de gestion ou syslog. Pour plus d'expéditeurs, utilisez davantage d'agents de gestion.
- Vous devez disposer d'au moins 50 descripteurs de fichier configurés par expéditeur dans le système d'exploitation pour gérer toutes les connexions entrantes potentielles que les expéditeurs peuvent ouvrir. Ils s'ajoutent aux descripteurs de fichier nécessaires sur le système d'exploitation à d'autres fins.
Cliquez sur Analyseur et sélectionnez un analyseur approprié.

En général, l'une des variantes d'analyseur, comme Syslog Standard Format ou Syslog RFC5424 Format, est utilisée. Vous pouvez également sélectionner l'un des analyseurs syslog définis par Oracle pour des dispositifs réseau spécifiques.

Dans l'onglet Port de processus d'écoute, cliquez sur Ajouter pour indiquer les détails du processus d'écoute sur lequel Oracle Logging Analytics écoutera les journaux.

Entrez le port de processus d'écoute que vous avez indiqué comme port de sortie dans le fichier de configuration syslog du serveur syslog, puis sélectionnez le protocole requis UDP ou TCP. Vérifiez que l'option Activé est sélectionnée.

Indication de haut niveau des différences entre les protocoles UDP et TCP qui sont des protocoles réseau standard utilisés dans le secteur :

UDP	TCP
Réduction de la surcharge sur le système et le réseau, et peut donc gérer plus de trafic que TCP. Elle dépend généralement des spécifications du réseau, du système et de la charge globale, mais est considérée comme plus légère que TCP. Ne garantit pas la livraison. Le périphérique qui envoie des messages syslog à l'agent de gestion les envoie et attend qu'un système écoute. Si l'agent est arrêté, ces messages sont perdus. Utilisez-le pour les journaux non critiques, c'est-à-dire les signaux qui peuvent être perdus de temps en temps et qui seront renvoyés de temps en temps.	L'expéditeur doit réellement établir une connexion avec l'agent de gestion avant d'envoyer les messages syslog, de sorte que l'expéditeur sache que l'agent accepte la charge utile. Utilisez-le pour les journaux importants, tels que la sécurité. TCP gère la congestion du réseau et aide à éviter la perte de messages de journal en raison de la saturation du réseau. TCP peut gérer des messages de journalisation plus longs de manière fiable sans risque de troncature.

UDP

TCP

Réduction de la surcharge sur le système et le réseau, et peut donc gérer plus de trafic que TCP. Elle dépend généralement des spécifications du réseau, du système et de la charge globale, mais est considérée comme plus légère que TCP.
Ne garantit pas la livraison. Le périphérique qui envoie des messages syslog à l'agent de gestion les envoie et attend qu'un système écoute. Si l'agent est arrêté, ces messages sont perdus.
Utilisez-le pour les journaux non critiques, c'est-à-dire les signaux qui peuvent être perdus de temps en temps et qui seront renvoyés de temps en temps.

L'expéditeur doit réellement établir une connexion avec l'agent de gestion avant d'envoyer les messages syslog, de sorte que l'expéditeur sache que l'agent accepte la charge utile.
Utilisez-le pour les journaux importants, tels que la sécurité.
TCP gère la congestion du réseau et aide à éviter la perte de messages de journal en raison de la saturation du réseau.
TCP peut gérer des messages de journalisation plus longs de manière fiable sans risque de troncature.

Répétez cette étape pour ajouter plusieurs ports de processus d'écoute.

Les ports de processus d'écoute suivants sont utilisés dans les sources de journal Syslog définies par Oracle :

Source Syslog définie par Oracle	Port d'écoute
Palo Alto Syslog Logs	`8500`
Symantec Endpoint Protection Syslog Listener Logs	`8501`
Symantec DLP Syslog Listener Logs	`8502`
Cisco Syslog Listener Source	`8503`
QRadar LEEF Syslog Listener Source	`8504`
F5 Big IP Logs	`8505`
Juniper SRX Syslog Logs	`8506`
Journaux Citrix NetScaler	`8507`
NetApp Syslog Logs	`8508`
Fortinet Syslog Logs	`8509`
ArcSight CEF Syslog Source	`8510`
Check Point Firewall LEA Syslog Logs	`8511`
Palo Alto Syslog CEF Logs	`8512`
TrendMicro Syslog Common Event Format Logs	`8513`
Symantec Endpoint Protection System Syslog Logs	`8514`
F5 Big IP ASM WAF Syslog CEF Logs	`8516`
CyberArk Journaux de format d'événement commun Syslog	`8517`
Squid Proxy Syslog Listener Source	`8518`

Cliquez sur Créer une source.

Afficher les données Syslog

Vous pouvez utiliser le champ Source de journal dans le panneau Champs de l'explorateur de journaux dans Oracle Logging Analytics pour visualiser les données syslog.

Dans l'explorateur de journaux Oracle Logging Analytics, cliquez sur Source dans le panneau Champs.
Dans la boîte de dialogue Filtrer par source, sélectionnez le nom de la source syslog que vous avez créée, puis cliquez sur Appliquer.

Oracle Logging Analytics affiche les données syslog de tous les ports de processus d'écoute configurés. Vous pouvez analyser les données syslog à partir de différents hôtes ou périphériques.

Documentation Oracle Cloud Infrastructure