1.syslog 警报兼容性
Suricata可以通过sylog发出警报,这是中央日志收集,合规性和向SIEM报告的一个非常方便的功能。有关设置的说明可以在.yaml文件中找到,您可以在其中配置您想要的警报(和其他)日志类型。
但是,有不同的syslog守护进程,并且可能存在SIEM期望的syslog格式以及Suricata发送的syslog格式的解析问题。Suricata的syslog格式依赖于Suricata传感器上运行的syslog守护程序,但它发送的格式通常不是SIEM期望的格式,也无法正确解析。
1.1 通用的syslog守护进程
syslogd - 记录系统消息
syslog-ng - 记录系统消息,但也支持TCP,TLS和其他增强的企业功能
rsyslogd - 记录系统消息,但也支持TCP,TLS,多线程和其他增强功能
klogd - 记录内核消息
sysklogd - 基本上是一堆 syslogd和klogd
如果Suricata传感器发送的syslog格式与SIEM或syslog收集器所期望的格式不兼容,则需要解决此问题。您可以在SIEM上执行此操作如果它能够配置为解释消息,或者通过在Suricata传感器本身上配置syslog守护程序以SIEM可以解析的格式发送。后者可以通过将模板应用于syslog配置文件来完成。
1.2 找到你正在使用的syslog守护进程
有很多方法可以找出你正在使用的syslog守护进程,但这里有一种方法:
cd /etc/init.d
ls | grep syslog
您应该看到一个带有syslog字样的文件,例如“syslog”,“rsyslogd”等。显然,如果名称是“rsyslogd”,您可以相当自信地运行rsyslogd。如果不确定或文件名只是“syslog”,请查看该文件。例如,如果是“rsyslogd”,请运行:
less rsyslogd
在顶部你应该看到一个看起来像这样的注释行:
# rsyslog Starts rsyslogd/rklogd.
找到这些文件并查看它们,以便为您提供有关正在运行的syslog守护程序的线索。另请查看您运行“less”的文件的start()部分,看看哪些二进制文件已启动,因为这也可以为您提供线索。
1.3 示例
下面是一个示例,其中Suricata传感器以rsyslogd格式发送系统日志消息,但SIEM期望并以sysklogd格式解析它们。在syslog配置文件中(通常在/ etc中使用rsyslog.conf或syslog.conf等文件名),首先添加模板:
$template sysklogd, "<%PRI%>%syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%"
然后将其发送到syslog服务器并应用模板:
user.alert@10.8.75.24:514;sysklogd
当然这只是一个例子,它可能会在您的环境中有所不同,具体取决于您使用的syslog守护程序和SIEM,但希望这会指向正确的方向。
网友评论