Configurar Monitoramento de Syslog

O Syslog é um padrão comumente usado para registrar as mensagens de evento do sistema. O destino dessas mensagens pode incluir o console do sistema, arquivos, servidores syslog remotos ou relés.

Visão Geral

O Oracle Logging Analytics permite que você colete e analise dados de syslog de várias origens. Você só precisa configurar as portas de saída do syslog nos servidores syslog. O Oracle Logging Analytics monitora essas portas de saída, acessa o conteúdo do syslog remoto e executa a análise.

O monitoramento de Syslog no Oracle Logging Analytics permite que você ouça vários hosts e portas. Os protocolos suportados são TCP e UDP.

Fluxo Geral para Coletar Logs do Syslog

Veja a seguir as tarefas de alto nível para coletar informações de log do seu host:

Instale Management Agents no seu listener de syslog. Consulte Configurar Coleta Contínua de Logs nos Hosts.

O listener de syslog é configurado para receber os logs syslog de instâncias que podem não estar em execução no mesmo host. No entanto, o agente instalado no host do listener de syslog coleta esses logs cujo listener está configurado para coleta.
Crie a entidade syslog. Consulte Criar uma Entidade para Representar Seu Recurso de Emissão de Log.
Criar Origem Syslog
Associe a entidade syslog à origem. Consulte Configurar Nova Associação entre Origem e Entidade.
Exibir Dados Syslog

Criar Origem Syslog

O Oracle Logging Analytics já fornece várias origens de log definidas pela Oracle para coleta de syslog. Verifique se você pode usar uma das origens syslog definidas pela Oracle disponíveis e parsers definidos pela Oracle. Caso contrário, use as seguintes etapas para criar uma nova origem de log:

Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Origens.
A página Origens é aberta. Clique em Criar Origem.

Isso exibe a caixa de diálogo Criar Origem.
No campo Nome, informe o nome da origem de log.
Na lista Source Type, selecione Syslog Listener.
Clique em Tipo de Entidade e selecione uma das variantes de Host, como Host (Linux), Host (Windows), Host (AIX) ou Host (Solaris), como seu tipo de entidade. Esse é o host no qual o agente está executando e coletando os logs. O listener de syslog é configurado para receber os logs syslog de instâncias que podem não estar em execução no mesmo host. No entanto, o agente instalado no host do listener de syslog coleta esses logs cujo listener está configurado para coleta.
Observação
- É recomendável que no máximo 50 remetentes sejam enviados a um único agente de gerenciamento ou syslog. Para ter mais remetentes, use mais agentes de gerenciamento.
- Você deve ter pelo menos 50 identificadores de arquivo configurados por remetente no sistema operacional para identificar todas as conexões de entrada possíveis que os remetentes possam abrir. Essa é uma adição aos identificadores de arquivo necessários no sistema operacional para outras finalidades.
Clique em Parser e selecione um parser adequado.

Normalmente, um dos parsers de variantes, como Syslog Standard Format ou Syslog RFC5424 Format, é usado. Você também pode selecionar entre os parsers de syslog definidos pela Oracle para dispositivos de rede específicos.

Na guia Porta do Listener, clique em Adicionar para especificar os detalhes do listener ao qual o Oracle Logging Analytics fará listening para coletar os logs.

Informe a porta do listener que você especificou como porta de saída no arquivo de configuração syslog no servidor syslog e selecione UDP ou TCP como protocolo necessário. Certifique-se de que a caixa de seleção Ativado esteja marcada.

Indicação de alto nível das diferenças entre os protocolos UDP e TCP que são protocolos de rede padrão usados na indústria:

UDP	TCP
Menor sobrecarga no sistema e na rede e, portanto, pode lidar com mais tráfego do que o TCP. Geralmente depende das especificações da rede, do sistema e da carga de trabalho, mas é considerado mais leve do que o TCP. Não garante a entrega. O dispositivo que envia mensagens de syslog para o agente de gerenciamento as envia e espera que um sistema esteja atendendo. Se o agente estiver inativo, essas mensagens serão perdidas. Use isso para logs não críticos, ou seja, sinais que podem ser perdidos ocasionalmente e serão reenviados de vez em quando.	O remetente deve realmente fazer uma conexão com o agente de gerenciamento antes de enviar as mensagens do syslog, para que o remetente saiba que o agente está aceitando o payload. Use isso para logs importantes, como segurança. O TCP gerencia o congestionamento da rede e ajuda a evitar a perda de mensagens de log devido à sobrecarga da rede. O TCP pode lidar com mensagens de log mais longas de forma confiável sem o risco de truncamento.

UDP

TCP

Menor sobrecarga no sistema e na rede e, portanto, pode lidar com mais tráfego do que o TCP. Geralmente depende das especificações da rede, do sistema e da carga de trabalho, mas é considerado mais leve do que o TCP.
Não garante a entrega. O dispositivo que envia mensagens de syslog para o agente de gerenciamento as envia e espera que um sistema esteja atendendo. Se o agente estiver inativo, essas mensagens serão perdidas.
Use isso para logs não críticos, ou seja, sinais que podem ser perdidos ocasionalmente e serão reenviados de vez em quando.

O remetente deve realmente fazer uma conexão com o agente de gerenciamento antes de enviar as mensagens do syslog, para que o remetente saiba que o agente está aceitando o payload.
Use isso para logs importantes, como segurança.
O TCP gerencia o congestionamento da rede e ajuda a evitar a perda de mensagens de log devido à sobrecarga da rede.
O TCP pode lidar com mensagens de log mais longas de forma confiável sem o risco de truncamento.

Repita esta etapa para adicionar várias portas de listener.

As seguintes portas do listener são usadas nas origens de log Syslog definidas pela Oracle:

Origem de Syslog definida pela Oracle	Porta do Listener
Palo Alto Syslog Logs	`8500`
Symantec Endpoint Protection Syslog Listener Logs	`8501`
Symantec DLP Syslog Listener Logs	`8502`
Cisco Syslog Listener Source	`8503`
QRadar LEEF Syslog Listener Source	`8504`
F5 Big IP Logs	`8505`
Juniper SRX Syslog Logs	`8506`
Logs do Citrix NetScaler	`8507`
NetApp Syslog Logs	`8508`
Fortinet Syslog Logs	`8509`
ArcSight CEF Syslog Source	`8510`
Check Point Firewall LEA Syslog Logs	`8511`
Palo Alto Syslog CEF Logs	`8512`
TrendMicro Syslog Common Event Format Logs	`8513`
Symantec Endpoint Protection System Syslog Logs	`8514`
F5 Big IP ASM WAF Syslog CEF Logs	`8516`
CyberArk Logs de Formato de Evento Comum do Syslog	`8517`
Squid Proxy Syslog Listener Source	`8518`

Clique em Criar Origem.

Exibir Dados Syslog

Você pode usar o campo Origem de Log no painel Campos do Log Explorer no Oracle Logging Analytics para exibir dados de syslog.

No Log Explorer do Oracle Logging Analytics, clique em Origem no painel Campos.
Na caixa de diálogo Filtrar por Origem, selecione o nome da origem do syslog que você criou e clique em Aplicar.

O Oracle Logging Analytics exibe os dados syslog de todas as portas de listener configuradas. Você pode analisar dados de syslog de diferentes hosts ou dispositivos.

Documentação do Oracle Cloud Infrastructure