15.3. 系统日志警报兼容性¶
Suricata可以通过Sylog发出警报,这对于集中日志收集、合规性和向SIEM报告非常方便。有关设置此设置的说明,可以在.yaml文件的节中找到,在该节中,您可以配置您想要的警报(和其他)日志记录类型。
但是,有不同的系统日志守护进程,并且可能存在SIEM期望的系统日志格式以及系统日志格式SURICA发送的内容的解析问题。来自Suricata的Syslog格式依赖于运行在Suricata传感器上的Syslog守护进程,但它发送的格式通常不是SIEM期望的格式,并且无法正确解析它。
15.3.1. 流行的系统日志守护程序¶
守护进程 -记录系统消息
syslog-ng -记录系统消息,但也支持TCP、TLS和其他增强的企业功能
RSY日志 -记录系统消息,但也支持TCP、TLS、多线程和其他增强功能
克洛格 -记录内核消息
系统日志 -基本上是一组系统日志和klogd
如果Suricata传感器发送的Syslog格式与您的SIEM或Syslog收集器期望的格式不兼容,则需要修复此问题。如果可以将SIEM配置为解释消息,或者通过配置Suricata传感器上的Syslog守护进程本身以SIEM可以解析的格式发送,则可以在SIEM上执行此操作。后者可以通过向系统日志配置文件应用模板来完成。
15.3.2. 正在查找正在使用的syslog守护程序¶
有很多方法可以找出您使用的syslog守护进程,但有一种方法:
cd /etc/init.d
ls | grep syslog
您应该看到一个文件,其中包含单词syslog,例如“syslog”、“rsyslogd”等。显然,如果名称为“rsyslogd”,您可以相当自信地运行rsyslogd。如果不确定或文件名只是“syslog”,请查看该文件。例如,如果它是“rsyslogd”,运行:
less rsyslogd
在顶部,您应该看到一个类似这样的注释行:
# rsyslog Starts rsyslogd/rklogd.
找到这些文件并查看它们,以提供有关正在运行的系统日志守护进程的线索。也可以查看 开始() 运行“更少”的文件的部分,并查看启动了哪些二进制文件,因为这也可以为您提供线索。
15.3.3. 例子¶
下面是一个示例,其中Suricata传感器正在以rsyslogd格式发送syslog消息,但siem希望以sysklogd格式对其进行分析。在syslog配置文件中(通常在/etc中,文件名为rsyslog.conf或syslog.conf),首先添加模板:
$template sysklogd, "<%PRI%>%syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%"
然后将其发送到应用模板的系统日志服务器:
user.alert @10.8.75.24:514;sysklogd
当然,这只是一个例子,根据您使用的系统日志守护进程和siem的不同,在您的环境中可能会有所不同,但希望这将为您指明正确的方向。