TSSLTD

На устройстве МКСЗ Diamond VPN/FW поддерживается возможность выгрузки отдельных журналов событий (файлов) на удаленный сервер по протоколу rsyslog.

Для активации этой функции необходимо произвести предварительную настройку. Необходимо подключиться к устройству по протоколу ssh и перейти в папку назначения с помощью команды «/etc/rsyslog.d». Далее с помощью команды «nano file_name.conf» необходимо создать конфигурационный файл. В конфигурационной файле необходимо задать параметры журналирования, сетевой адрес сервера, сетевой протокол, файл с логами и другие параметры. Механизм журналирования позволяет осуществлять фильтрацию нужных событий по ключевым слом перед отправкой на центральны сервер. Ниже мы рассмотрим различные примеры конфигураций с описание задачи, которую необходимо решить.

Конфигурацию для протокола Rsyslog можно задать как в одном файле, так и в нескольких. При старте основного процесса все конфигурации из файлов будут считаны и применены.

Для задания нужной конфигурации необходимо открыть на редактирование файл с настройками с помощью команды «nano /etc/rsyslogd.d/<file_name>.conf». В конфигурационном файле задать следующие настройки.

module(load="imfile")             

global (
  workDirectory="/media/storage/logs/"
)
input(type="imfile" File="/var/log/messages" Tag="messages" ruleset="promtail")
ruleset(name="promtail"){
   if $msg contains 'eigrpd' then action (type="omfile" file="/media/storage/logs/frr_eigrp.log" Template="RSYSLOG_SyslogProtocol23Format")
   if $msg contains 'bgpd' then action (type="omfile" file="/media/storage/logs/frr_bgp.log" Template="RSYSLOG_SyslogProtocol23Format")
}

В данном примере, мы анализируем поступающую информацию из файла «/var/log/messages» и применяем к сообщениям фильтры по ключевым словам «eigrpd», «bgpd». События для ключа «eigrpd» записываются в файл «/media/storage/logs/frr_eigrp.log», для ключа «bgpd» записываются в файл «/media/storage/logs/frr_bgp.log»

Для задания нужной конфигурации необходимо открыть на редактирование файл с настройками с помощью команды «nano /etc/rsyslogd.d/<file_name>.conf». В конфигурационном файле задать следующие настройки.

module(load="imfile")             

global (
  workDirectory="/media/storage/logs/"
)
input(type="imfile" File="/var/log/messages" Tag="messages" ruleset="promtail")
ruleset(name="promtail"){
   if $msg contains 'eigrpd' then action (type="omfwd" protocol="udp" target="10.34.17.88" port="514" Template="RSYSLOG_SyslogProtocol23Format")
   if $msg contains 'bgpd' then action (type="omfwd" protocol="udp" target="10.34.17.88" port="514" Template="RSYSLOG_SyslogProtocol23Format")
}

В данном примере, мы анализируем поступающую информацию из файла «/var/log/messages» и применяем к сообщениям фильтры по ключевым словам «eigrpd», «bgpd». События для ключа «eigrpd» и «bgpd» отправляем по протоколу «udp» на удаленный сервер с сетевым адресом «10.34.17.88» на порт «514».

Для задания нужной конфигурации необходимо открыть на редактирование файл с настройками с помощью команды «nano /etc/rsyslogd.d/<file_name>.conf». В конфигурационном файле задать следующие настройки.

module(load="imfile")             

global (
  workDirectory="/media/storage/logs/"
)
input(type="imfile" File="/var/log/messages" Tag="messages" ruleset="promtail")
ruleset(name="promtail"){
   if $msg contains 'eigrpd' then action (type="omfwd" protocol="udp" target="10.34.17.88" port="514" Template="RSYSLOG_SyslogProtocol23Format")
   if $msg contains 'eigrpd' then action (type="omfwd" protocol="udp" target="10.34.17.90" port="514" Template="RSYSLOG_SyslogProtocol23Format")
}

В данном примере, мы анализируем поступающую информацию из файла «/var/log/messages» и применяем к сообщениям фильтры по ключевым словам «eigrpd». События для ключа «eigrpd» отправляем по протоколу «udp» на два удаленных сервера с сетевым адресом «10.34.17.88» на порт «514» и «10.34.17.90» на порт «514».

Протокол rsyslog поддерживает возможность фильтровать информацию по заданным критериям для последующей отправки на удаленный сервер. Общий форма сообщения:

if [$свойство] [условие] then [action]

Перечень свойств, которые можно задать:

• msg - сообщение syslog
• hostname - от кого сообщение
• syslogtag - TAG сообщения
• programname - название процесса,
• pri - приоритет сообщения
• syslogfacility - syslog facility как число
• syslogfacility-text - facility в текстовом формате
• syslogseverity - важность
• syslogseverity-text - важность в текстовом формате

Перечень условий, которые можно использовать:

• contains - содержит
• isequal - равно
• startswitch - начинается с
• regex - регулярное выражение

Условия для поиска можно комбинировать с помощью логических операций or/and/not, например:

  * if $syslogfacility-text == 'local0' and $msg startswith 'DEVNAME' and ($msg contains 'error1' or $msg contains 'error0') then /media/storage/logs/<file_log_name>.log
  * if $syslogfacility-text == 'local0' and $msg startswith 'DEVNAME' and not ($msg contains 'error1' or $msg contains 'error0') then /var/log/somelog

Возможные категории для логов перечислены в табл. 9.f.1 и 9.f.2.