Imposta monitoraggio syslog

Syslog è uno standard comunemente utilizzato per registrare i messaggi degli eventi di sistema. La destinazione di questi messaggi può includere la console di sistema, i file, i server syslog remoti o i relè.

Overview

Oracle Log Analytics consente di raccogliere e analizzare i dati syslog da varie origini. È sufficiente configurare le porte di output syslog nei server syslog. Oracle Log Analytics monitora tali porte di output, accede al contenuto del syslog remoto ed esegue l'analisi.

Il monitoraggio Syslog in Oracle Log Analytics consente di ascoltare più host e porte. I protocolli supportati sono TCP e UDP.

Flusso complessivo per la raccolta dei log Syslog

Di seguito sono riportati i task di alto livello per la raccolta delle informazioni di log dall'host.

Installare i Management Agent nel listener syslog. Vedere Impostazione della raccolta di log continua mediante Management Agent.

Il listener syslog è configurato per ricevere i log syslog da istanze che potrebbero non essere in esecuzione sullo stesso host. Tuttavia, l'agente installato nell'host del listener syslog raccoglie i log per i quali il listener è configurato per la raccolta.
Creare l'entità syslog. Vedere Creare un'entità per rappresentare la risorsa che invia il log.
Crea origine Syslog
Associare l'entità syslog all'origine. Vedere Configura nuova associazione origine-entità.
Visualizza dati Syslog

Crea origine Syslog

Oracle Log Analytics fornisce già diverse origini di log definite da Oracle per la raccolta syslog. Verificare se è possibile utilizzare una delle origini syslog definite da Oracle e i parser definiti da Oracle. In caso contrario, effettuare le operazioni riportate di seguito per creare una nuova origine log.

Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.

Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.
Viene visualizzata la pagina Origini. Fare clic su Crea origine.

Viene visualizzata la finestra di dialogo Crea origine.
Nel campo Nome, immettere il nome dell'origine log.
Nell'elenco Tipo di origine selezionare Listener Syslog.
Fare clic su Tipo di entità e selezionare una delle varianti di Host, ad esempio Host (Linux), Host (Windows), Host (AIX) o Host (Solaris) come tipo di entità. Questo è l'host su cui l'agente è in esecuzione e raccoglie i log. Il listener syslog è configurato per ricevere i log syslog da istanze che potrebbero non essere in esecuzione sullo stesso host. Tuttavia, l'agente installato nell'host del listener syslog raccoglie i log per i quali il listener è configurato per la raccolta.
Nota
- Si consiglia di inviare un massimo di 50 mittenti a un singolo Management Agent o syslog. Per avere più mittenti, utilizzare più agenti di gestione.
- È necessario disporre di almeno 50 handle di file configurati per mittente nel sistema operativo per gestire tutte le possibili connessioni in entrata che i mittenti possono aprire. Questo è in aggiunta agli handle di file necessari sul sistema operativo per altri scopi.
Fare clic su Parser e selezionare un parser appropriato.

In genere, viene utilizzato uno dei parser della variante, ad esempio Syslog Standard Format o Syslog RFC5424 Format. È inoltre possibile effettuare una selezione dai parser syslog definiti da Oracle per dispositivi di rete specifici.

Nella scheda Porta listener fare clic su Aggiungi per specificare i dettagli del listener a cui Oracle Log Analytics ascolterà la raccolta dei log.

Immettere la porta listener specificata come porta di output nel file di configurazione syslog nel server syslog e selezionare UDP o TCP come protocollo richiesto. Assicurarsi che la casella di controllo Abilitato sia selezionata.

Indicazione ad alto livello delle differenze tra protocolli UDP e TCP che sono protocolli di rete standard utilizzati nel settore:

UDP	TCP
Minore sovraccarico sul sistema e sulla rete, pertanto è in grado di gestire più traffico rispetto a quello TCP. In genere dipende dalle specifiche della rete, del sistema e del carico di lavoro, ma è considerato più leggero del TCP. Non garantisce la consegna. Il dispositivo che invia i messaggi syslog al Management Agent li invia e prevede che un sistema sia in ascolto. Se l'agente è inattivo, tali messaggi vengono persi. Utilizzalo per i registri non critici, ovvero segnali che possono essere persi occasionalmente e che verranno risentiti ogni tanto.	Il mittente deve effettivamente stabilire una connessione al Management Agent prima di inviare i messaggi syslog, in modo che il mittente sa che l'agente sta accettando il payload. Utilizzare questa opzione per i log importanti, ad esempio la sicurezza. TCP gestisce la congestione della rete e aiuta a prevenire la perdita dei messaggi di log a causa del sovraccarico della rete. TCP può gestire i messaggi di log più lunghi in modo affidabile senza il rischio di troncamento.

UDP

TCP

Minore sovraccarico sul sistema e sulla rete, pertanto è in grado di gestire più traffico rispetto a quello TCP. In genere dipende dalle specifiche della rete, del sistema e del carico di lavoro, ma è considerato più leggero del TCP.
Non garantisce la consegna. Il dispositivo che invia i messaggi syslog al Management Agent li invia e prevede che un sistema sia in ascolto. Se l'agente è inattivo, tali messaggi vengono persi.
Utilizzalo per i registri non critici, ovvero segnali che possono essere persi occasionalmente e che verranno risentiti ogni tanto.

Il mittente deve effettivamente stabilire una connessione al Management Agent prima di inviare i messaggi syslog, in modo che il mittente sa che l'agente sta accettando il payload.
Utilizzare questa opzione per i log importanti, ad esempio la sicurezza.
TCP gestisce la congestione della rete e aiuta a prevenire la perdita dei messaggi di log a causa del sovraccarico della rete.
TCP può gestire i messaggi di log più lunghi in modo affidabile senza il rischio di troncamento.

Ripetere questo passo per aggiungere più porte listener.

Le porte listener riportate di seguito vengono utilizzate nelle origini log Syslog definite da Oracle.

Origine Syslog definita da Oracle	Porta listener
Log di Syslog Palo Alto	`8500`
Log listener Syslog di protezione endpoint Symantec	`8501`
Log listener Syslog Symantec DLP	`8502`
Origine listener Syslog Cisco	`8503`
QRadar Origine listener Syslog LEEF	`8504`
F5 Log IP di grandi dimensioni	`8505`
Log syslog Juniper SRX	`8506`
Log NetScaler Citrix	`8507`
NetApp Log di syslog	`8508`
Log syslog Fortinet	`8509`
ArcSight Origine syslog CEF	`8510`
Log syslog LEA Firewall punto di controllo	`8511`
Log CEF di Palo Alto Syslog	`8512`
TrendMicro Log dei formati eventi comuni Syslog	`8513`
Symantec Endpoint Protection System Log di sistema	`8514`
F5 Log CEF Syslog WAF ASM Big IP	`8516`
CyberArk Log dei formati eventi comuni Syslog	`8517`
Origine listener Syslog proxy Squid	`8518`

Fare clic su Crea origine.

Visualizza dati Syslog

È possibile utilizzare il campo Origine log nel pannello Campi di Log Explorer in Oracle Log Analytics per visualizzare i dati syslog.

Nel Log Explorer di Oracle Log Analytics fare clic su Origine nel pannello Campi.
Nella finestra di dialogo Filtra per origine selezionare il nome dell'origine syslog creata e fare clic su Applica.

Oracle Log Analytics visualizza i dati syslog da tutte le porte listener configurate. È possibile analizzare i dati syslog da host o dispositivi diversi.

Documentazione dell'infrastruttura Oracle Cloud

Imposta monitoraggio syslog

Crea origine Syslog

Visualizza dati Syslog