Oracle Logging Analytics fornisce già diverse origini log definite da Oracle per la raccolta syslog. Verificare se è possibile utilizzare una delle origini syslog definite da Oracle e i parser definiti da Oracle. In caso contrario, procedere come segue per creare una nuova origine log:

1. Aprire il menu di navigazione e fare clic su Osservabilità e gestione. In Logging Analytics, fare clic su Amministrazione. Viene visualizzata la pagina Panoramica dell'amministrazione.

   Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Risorse. Fare clic su Origini.

2. Viene visualizzata la pagina Origini. Fare clic su Crea origine.

   Viene visualizzata la finestra di dialogo Crea origine.

3. Nel campo Nome immettere il nome dell'origine log.

4. Nella lista Tipo di origine selezionare Listener Syslog.

5. Fare clic su Tipo di entità e selezionare una delle varianti di Host, ad esempio Host (Linux), Host (Windows), Host (AIX) o Host (Solaris) come tipo di entità. Questo è l'host su cui l'agente è in esecuzione e raccoglie i log. Il listener syslog è configurato per ricevere i log syslog da istanze che potrebbero non essere in esecuzione sullo stesso host. Tuttavia, l'agente installato nell'host del listener syslog raccoglie i log per i quali il listener è configurato per la raccolta.

   Nota
   
   

   • Si consiglia di inviare un massimo di 50 mittenti a un singolo Management Agent o syslog. Per avere più mittenti, utilizzare più agenti di gestione.

   • È necessario disporre di almeno 50 handle di file configurati per mittente nel sistema operativo per gestire tutte le possibili connessioni in entrata che i mittenti possono aprire. Questo si aggiunge agli handle di file necessari sul sistema operativo per altri scopi.

6. Fare clic su Parser e selezionare un parser appropriato.

   In genere viene utilizzato uno dei parser delle varianti, ad esempio Syslog Standard Format o Syslog RFC5424 Format. È anche possibile selezionare i parser syslog definiti da Oracle per dispositivi di rete specifici.

7. Nella scheda Porta listener, fare clic su Aggiungi per specificare i dettagli del listener a cui Oracle Logging Analytics ascolterà la raccolta dei log.

   Immettere la porta listener specificata come porta di output nel file di configurazione syslog nel server syslog e selezionare UDP o TCP come protocollo richiesto. Assicurarsi che la casella di controllo Abilitato sia selezionata.

   Indicazione ad alto livello delle differenze tra protocolli UDP e TCP che sono protocolli di rete standard utilizzati nel settore:

   UDP

   TCP

   Minore sovraccarico sul sistema e sulla rete, pertanto è in grado di gestire più traffico rispetto a quello TCP. In genere dipende dalle specifiche della rete, del sistema e del carico di lavoro, ma è considerato più leggero del TCP. Non garantisce la consegna. Il dispositivo che invia i messaggi syslog al Management Agent li invia e prevede che un sistema sia in ascolto. Se l'agente è inattivo, tali messaggi vengono persi. Utilizzalo per i registri non critici, ovvero segnali che possono essere persi occasionalmente e che verranno risentiti ogni tanto.

   Il mittente deve effettivamente stabilire una connessione al Management Agent prima di inviare i messaggi syslog, in modo che il mittente sa che l'agente sta accettando il payload. Utilizzare questa opzione per i log importanti, ad esempio la sicurezza. TCP gestisce la congestione della rete e aiuta a prevenire la perdita dei messaggi di log a causa del sovraccarico della rete. TCP può gestire i messaggi di log più lunghi in modo affidabile senza il rischio di troncamento.

   Ripetere questo passo per aggiungere più porte listener.

   Le porte listener riportate di seguito vengono utilizzate nelle origini log Syslog definite da Oracle.

   Origine syslog definita da Oracle	Porta listener
   Log Syslog Palo Alto	8500
   Log listener syslog protezione endpoint Symantec	8501
   Log listener Syslog DLP Symantec	8502
   Origine listener Cisco Syslog	8503
   QRadar Origine listener Syslog LEEF	8504
   F5 Big IP Log	8505
   Log syslog Juniper SRX	8506
   Log Citrix NetScaler	8507
   NetApp Log Syslog	8508
   Log Syslog Fortinet	8509
   ArcSight Origine syslog CEF	8510
   Log Syslog LEA firewall check-point	8511
   Log CEF Syslog Palo Alto	8512
   TrendMicro Log formati eventi comuni Syslog	8513
   Symantec Endpoint Protection System - Log Syslog	8514
   F5 Log CEF del syslog WAF di Big IP ASM	8516
   CyberArk Log formati eventi comuni Syslog	8517
   Origine listener syslog proxy Squid	8518

8. Fare clic su Crea origine.

È possibile utilizzare il campo Origine log nel pannello Campi di Log Explorer in Oracle Logging Analytics per visualizzare i dati del syslog.

1. Nel Explorer log di Oracle Logging Analytics fare clic su Origine nel pannello Campi.
2. Nella finestra di dialogo Filtra per origine, selezionare il nome dell'origine syslog creata e fare clic su Applica.