SYSLOG I Khái niệm: Syslog-ng công cụ thu thập log hiệu linh hoạt Syslog-ng ứng dụng có khả phát triển cách mạnh mẽ uyển chuyển hệ thống ghi log, lựa chọn số để xây dụng hệ thống quản lý log tập trung Có thể nói Syslog-ng phiên mở rộng vượt trội đàn anh syslogd Syslog-ng sử dụng để quản lý thông điệp thực việc thu thập log tập trung Các thiết bị, máy chủ khác gọi syslog-ng client, tất chạy syslogng thu thập thông điệp log từ ứng dụng khác từ nguồn khác Các client gửi tất thông điệp log quan trọng tới máy chủ syslog-ng trung tâm để phân loại lưu trữ chúng II Mục đích sử dụng: Log message bao gồm thơng tin kiện xảy máy chủ Giám sát kiện hệ thống cần thiết để tìm nguyên nhân cố an ninh hệ thống máy III Ưu –Khuyết: Ưu điểm: – Truyền log tin cậy (Reliable log transfer): log server khác thu thập lưu trữ tập trung máy log server chuyên dụng Log dùng giao thức TCP đảm bảo gói tin khơng bị đường truyền – Truy xuất log an toàn SSL/TLS (Secure logging using SSL/TLS): Bản ghi log bao gồm thông tin bị truy xuất người khác syslog-ng có lợi sử dụng giao thức TLS (Transport Layer Security) để mã hóa thông tin TLS cho phép xác thực lẫn host server cách sử dụng X.509 – Disk-based message buffering: syslog-ng lưu lại thông báo (message) đĩa cứng log server kết nối mạng gặp trục trặc Các ứng dụng syslog-ng tự động gửi thông báo lưu trữ vào máy chủ kết nối thiết lập theo thứ tự thông báo nhận Đĩa đệm (the disk buffer) hoạt động liên tục khơng có message bị syslog-ng bị restart – Truy cập sở liệu trực tiếp (Direct database access): Việc lưu lại log message vào sở liệu cho phép việc tìm kiếm, truy vấn (query) message dễ dàng tương thích với ứng dụng phân tích log Syslog-ng hỗ trợ sở liệu sau: MSSQL, MySQL, Oracle PostgreSQL – Môi trường làm việc không đồng (Heterogeneous environments): syslog-ng lựa chọn lý tưởng để thu thập ghi môi trường không đồng sử dụng nhiều hệ điều hành khác tảng phần cứng (hardware platforms) bao gồm Linux, BSD, Sun Solaris, HP-UX, AIX Unix khác – Lọc phân loại (Filter and classify): Các ứng dụng syslog-ng phân loại log message dựa thông số khác source host (nguồn máy chủ), ứng dụng ưu tiên Thư mục, tập tin bảng sở liệu tạo tự động cách sử dụng dịnh dạng macro Những phép lọc phức tạp sử dụng biểu thức thông thường toán tử logic cung cấp linh hoạt mà không giới hạn việc chuyển tiếp thông điệp log quan trọng điểm đến lựa chọn – Hỗ trợ IPv4 IPv6 (IPv4 and IPv6 support): Syslog-ng hoạt động IPv4 IPv6 Nó nhận gửi thông báo cho loại mạng 1 Khuyết điểm: Syslog-ng khơng phải phần mềm phân tích syslog-ng lọc log message phù hợp với số tiêu chí định trước Syslog-ng khơng thể giải thích phân tích ý nghĩa đằng sau log message nhận xuất mơ hình từ thơng điệp khác I Cơ chế thu thập log message với syslog-ng Một thiết bị ứng dụng syslog-ng client lưu log message nguồn client Ví dụ: máy Apache server (syslog-ng client) chạy linux lưu log message thư mục /var/log/apache 192.168.1.1 /var/log/apache 2/ Syslog-ng Syslog-ng client (Apache server) đọc file log nơi chứa log message (/var/log/apache) client xử lý Log mess from /var/log/apache Log mess from /var/x/y/z 192.168.1.1 Syslog-ng Source: 192.168.1.1 /var/log/apache Log path Filter Source Destination 192.168.1.1 192.168.55.0 172.10x.y.z 125.x.y.z 165.x.y.z 25.x.y.z Hình mơ tả q trình làm việc syslog-ng client trước đưa log message đến syslog-ng server Tại đây, syslog-ng xử lý log messages chuyển chúng đến syslog-ng server định nghĩa sẵn Log Path Log path bao gồm nhiều nguồn (sources) đích đến (destination) Log message từ nguồn gửi đến đích đến liệt kê Log Path Trước log message gửi phải qua phận lọc Filter syslog-ng Filter giống với tưởng lửa (Firewall), gồm luật dùng để lọc lựa log message phù hợp để gửi đến syslog-ng server Lợi ích filter giúp việc hệ thống file log tránh gặp phải tình nghẽn đầy thơng tin rác Log Path tích hợp với Filter 3/ Log message chuyển đến syslog-ng server xử lý đưa đến đích đến server (local destinations) cài đặt log path Syslog-ng server Filter Log path II Mơ hình hoạt động: Mơ hình client: Trong mơ hình này, syslog-ng thu thập log messages từ syslog-ng client chuyển log message mạng network đến syslog-ng server tới relay Client log message nội Mơ hình khơng u cầu phải có file license (file chứng nhận) License file xác định số lượng host truy cập đến Mơ hình relay: – Trong mơ hình này, syslog-ng nhận log messages qua mạng network từ syslog-ng clients chuyển log messages qua mạng network đến syslog-ng server Relays log messages nội máy relay chuyển đến syslog-ng server trung tâm – Máy relay lưu log message từ mạng network chuyển đến vào nhớ nội Relay lưu log messages vào ổ cứng nhớ đệm bị chiếm sử dụng – Mơ hình khơng cần license file Mơ hình Server: Trong mơ hình này, syslog-ng hoạt động máy thu thập log messages trung tâm Syslog-ng thu thập log messages từ mạng network lưu trữ máy server chuyển log messages đến ứng dụng khác – Tùy theo phiên sử dụng mà syslog-ng chạy chế độ cần đến license hay khơng (Premium Edition u cầu phải có license file cịn Open Source Edition khơng u cầu file này) – I Cấu trúc log messages: Có chuyển định dạng syslog message: Chuẩn cũ mơ tả phiên RFC 3164, cịn gọi BSD-syslog giao thức legacy-syslog Chuẩn mơ tả với phiên RFC 5424, cịn gọi giao thức IETF-syslog IETF-syslog messages: Một syslog message bao gồm phần sau: • • • HEADER (bao gồm PRI) STRUCTURED-DATA MSG Message có định dạng tương ứng sau: Ví dụ: Phần HEADER message phải có định dạng ASCCII, phần STRUCTUREDDATA phải có định dạng UTF-8, cịn phần MSG nên định dạng UTF-8 Phần PRI message: Phần mang giá trị Priority (sự ưu tiên) thể Facility and Severity (cở sở mức độ nghiêm trọng) message Facility thể thông tin hệ thống gửi message Severity đánh dấu mức độ quan trọng Giá trị Priority tính sau: Priority = Facility * + Severity Bảng Giá trị facility severity: HEADER: Phần bao gồm đối tượng sau: VERSION: số phiên chuẩn giao thức syslog ISOTIMESTAMP: thời gian message xử lý chuẩn ISO 8601 tương thích Định dạng sau: yyyy-mm-ddThh:mm:ss+-ZONE Ví dụ: 2006-06-13T15:58:00.123+01:00 HOSTNAME: tên thiết bị ban đầu gửi message APPLICATION: thiết bị ứng dụng xử lý message PID: tên tiến trình ID tiến trình ứng dụng syslog gửi message MESSAGEID: số ID message STRUCTURED-DATA Phần bao gồm thông tin syslog message đặc trưng ứng dụng lượng truy cập hay địa IP 4.MSG Phần bao gồm nội dung message