Documentação do Oracle Cloud Infrastructure

Configurar Monitoramento de Syslog

O Syslog é um padrão comumente usado para registrar as mensagens de evento do sistema. O destino dessas mensagens pode incluir o console do sistema, arquivos, servidores syslog remotos ou relés.

Visão Geral

O Oracle Log Analytics permite coletar e analisar dados de syslog de várias origens. Você só precisa configurar as portas de saída syslog nos servidores syslog. O Oracle Log Analytics monitora essas portas de saída, acessa o conteúdo syslog remoto e executa a análise.

O monitoramento de Syslog no Oracle Log Analytics permite que você ouça vários hosts e portas. Os protocolos suportados são TCP e UDP.

Fluxo Geral para Coleta de Logs Syslog

Estas são as tarefas de alto nível para coletar informações de log do seu host:

Criar Origem Syslog

O Oracle Log Analytics já fornece várias origens de log definidas pela Oracle para coleta de syslog. Verifique se você pode usar uma das origens syslog disponíveis definidas pela Oracle e parsers definidos pela Oracle. Caso contrário, use as seguintes etapas para criar uma nova origem de log:

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Log Analytics, clique em Administração.

    Os recursos administrativos são listados no painel esquerdo de navegação em Administração. Clique em Origens.

  2. A página Origens é aberta. Clique em Criar Origem.

    Isso exibe a caixa de diálogo Criar Origem.

  3. No campo Nome, informe o nome da origem de log.

  4. Na lista Tipo de Origem, selecione Listener de Syslog.

  5. Clique em Tipo de Entidade e selecione uma das variantes do Host, como Host (Linux), Host (Windows), Host (AIX) ou Host (Solaris) como seu tipo de entidade. Esse é o host no qual o agente está executando e coletando os logs. O listener de syslog é configurado para receber os logs syslog de instâncias que podem não estar em execução no mesmo host. No entanto, o agente instalado no host do listener de syslog coleta esses logs cujo listener está configurado para coleta.

    Observação

    • É recomendável que no máximo 50 remetentes sejam enviados a um único agente de gerenciamento ou syslog. Para ter mais remetentes, use mais agentes de gerenciamento.

    • Você deve ter pelo menos 50 identificadores de arquivo configurados por remetente no sistema operacional para identificar todas as conexões de entrada possíveis que os remetentes possam abrir. Essa é uma adição aos identificadores de arquivo necessários no sistema operacional para outras finalidades.

  6. Clique em Parser e selecione um parser adequado.

    Normalmente, é usado um dos parsers de variantes, como Syslog Standard Format ou Syslog RFC5424 Format. Você também pode selecionar entre os parsers de syslog definidos pela Oracle para dispositivos de rede específicos.

  7. Na guia Porta do Listener, clique em Adicionar para especificar os detalhes do listener do qual o Oracle Log Analytics fará listening para coletar os logs.

    Informe a porta do listener que você especificou como porta de saída no arquivo de configuração syslog no servidor syslog e selecione UDP ou TCP como protocolo necessário. Certifique-se de que a caixa de seleção Ativado esteja marcada.

    Indicação de alto nível das diferenças entre os protocolos UDP e TCP que são protocolos de rede padrão usados na indústria:

    UDP TCP
    • Menor sobrecarga no sistema e na rede e, portanto, pode lidar com mais tráfego do que o TCP. Geralmente depende das especificações da rede, do sistema e da carga de trabalho, mas é considerado mais leve do que o TCP.
    • Não garante a entrega. O dispositivo que envia mensagens de syslog para o agente de gerenciamento as envia e espera que um sistema esteja atendendo. Se o agente estiver inativo, essas mensagens serão perdidas.
    • Use isso para logs não críticos, ou seja, sinais que podem ser perdidos ocasionalmente e serão reenviados de vez em quando.
    • O remetente deve realmente fazer uma conexão com o agente de gerenciamento antes de enviar as mensagens do syslog, para que o remetente saiba que o agente está aceitando o payload.
    • Use isso para logs importantes, como segurança.
    • O TCP gerencia o congestionamento da rede e ajuda a evitar a perda de mensagens de log devido à sobrecarga da rede.
    • O TCP pode lidar com mensagens de log mais longas de forma confiável sem o risco de truncamento.

    Repita esta etapa para adicionar várias portas de listener.

    As seguintes portas de listener são utilizadas nas origens de log do Syslog definidas pela Oracle:

    Origem Syslog Definida pela Oracle Porta do Listener

    Palo Alto Syslog Logs

    		 8500

    Symantec Endpoint Protection Syslog Listener Logs

    		 8501

    Symantec DLP Syslog Listener Logs

    		 8502

    Cisco Syslog Listener Source

    		 8503

    QRadar LEEF Syslog Listener Source

    		 8504

    F5 Big IP Logs

    		 8505

    Juniper SRX Syslog Logs

    		 8506

    Logs do Citrix NetScaler

    		 8507

    NetApp Syslog Logs

    		 8508

    Fortinet Syslog Logs

    		 8509

    ArcSight CEF Syslog Source

    		 8510

    Check Point Firewall LEA Syslog Logs

    		 8511

    Palo Alto Syslog CEF Logs

    		 8512

    TrendMicro Syslog Common Event Format Logs

    		 8513

    Symantec Endpoint Protection System Syslog Logs

    		 8514

    F5 Big IP ASM WAF Syslog CEF Logs

    		 8516

    CyberArk Logs de Formato de Evento Comum Syslog

    		 8517

    Squid Proxy Syslog Listener Source

    		 8518

  8. Clique em Criar Origem.

Exibir Dados Syslog

Você pode usar o campo Origem de Log no painel Campos do Log Explorer no Oracle Log Analytics para exibir dados de syslog.

  1. No Log Explorer do Oracle Log Analytics, clique em Origem no painel Campos.
  2. Na caixa de diálogo Filtrar por Origem, selecione o nome da origem syslog que você criou e clique em Aplicar.
O Oracle Log Analytics exibe os dados syslog de todas as portas do listener configuradas. É possível analisar dados de Syslog de diferentes hosts ou dispositivos.