BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF
HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH
R...
Unser Unternehmen.
© Trivadis – Das Unternehmen2 14/11/15
Trivadis ist führend bei der IT-Beratung, der Systemintegration,...
KOPENHAGEN
MÜNCHEN
LAUSANNE
BERN
ZÜRICH
BRUGG
GENF
HAMBURG
DÜSSELDORF
FRANKFURT
STUTTGART
FREIBURG
BASEL
WIEN
Mit über 600...
Agenda
Rsyslog – deutsche Qulitästarbeit für Linux
4
14/
11/
15
1.  Konzept der Syslog Implementierung
2.  Rsyslog
Übersic...
Rsyslog – deutsche Qulitästarbeit für Linux14/11/15
Syslog Konzept
Syslog Konzept
Rsyslog – deutsche Qulitästarbeit für Linux6 14/11/15
Zentrale Ablage von Syslogs
Syslog Server
–  Zwei red...
Syslog Konzept
Rsyslog – deutsche Qulitästarbeit für Linux7 14/11/15
Zentrale Ablage von Syslogs
  Sammeln Security releva...
Übersicht Konzept
Rsyslog – deutsche Qulitästarbeit für Linux8 14/11/15
Syslog Konzept
Rsyslog – deutsche Qulitästarbeit für Linux9 14/11/15
Ablage-Struktur
Rsyslog – deutsche Qulitästarbeit für Linux14/11/15
Rsyslog
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux11 14/11/15
Dank an Rainer Gerhards
  Deutsche Qualitätsarbei...
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux12 14/11/15
RFC‘s zu Syslog
  RFC 3164
–  The BSD syslog Prot...
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux13 14/11/15
„Facility Keywords“ für facility-basierte Filter
...
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux14 14/11/15
Beispiel Zuordnung der „kernel“ Facility
# Log al...
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux15 14/11/15
Facility values MUST be in the range of 0 to 23 i...
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux16 14/11/15
„Priority Keywords“ für priority-basierte Filter
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux17 14/11/15
Beispiel Zuordnung der „error“ priority
if $syslo...
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux18 14/11/15
Priorities aus RFC 5424
Rsyslog Übersicht
Rsyslog – deutsche Qulitästarbeit für Linux19 14/11/15
Features
  Homepage
–  „RSYSLOG is the rocket-fas...
Rsyslog Features
Rsyslog – deutsche Qulitästarbeit für Linux20 14/11/15
Struktur
  Input Modules
–  $ModLoad imuxsock
•  p...
Rsyslog Features
Rsyslog – deutsche Qulitästarbeit für Linux21 14/11/15
Struktur
  Actions
–  Schreiben in Files
–  DB Bac...
Rsyslog Features
Rsyslog – deutsche Qulitästarbeit für Linux22 14/11/15
Modules, functionality to be dynamically loaded fr...
Rsyslog Features
Rsyslog – deutsche Qulitästarbeit für Linux23 14/11/15
RELP
  „Relaible Event Logging Protocol“
  TLS Ses...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux24 14/11/15
Struktur und Konfigurations Management Tools
  Auftei...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux25 14/11/15
Standard Syslog Syntax
  Kann man verwenden
# Everybo...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux26 14/11/15
/etc/rsyslog.conf
  Modules
$ModLoad imuxsock
$ModLoa...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux27 14/11/15
TLS Verschlüsselung
Certificate Files
  Authentifizie...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux28 14/11/15
TLS Verschlüsselung
  X509 Zertifikate
–  Ab Oracle L...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux29 14/11/15
Filter
  Neues „style format“
–  Rainer Script
if $ms...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux30 14/11/15
Templates
  Beispiel
$template HostAudit, "/u00/rsysl...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux31 14/11/15
Rules
  „forwarding rules“
# forward everything to re...
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux32 14/11/15
Syntaxcheck
  Zuerst testen vor Restart
rsyslogd -N 1
Konfiguration
Rsyslog – deutsche Qulitästarbeit für Linux33 14/11/15
Regex
  POSIX ERE oder BRE
  Online Regex Checker
–  ...
Rsyslog – deutsche Qulitästarbeit für Linux14/11/15
Auditd
Auditd
Rsyslog – deutsche Qulitästarbeit für Linux35 14/11/15
Auditd
  Zentrale Ablage der Audit Logs
–  Korrelation von S...
Auditd
Rsyslog – deutsche Qulitästarbeit für Linux36 14/11/15
Konfiguration
Imfile Module
  Beispiel local5
$ModLoad imfil...
Auditd
Rsyslog – deutsche Qulitästarbeit für Linux37 14/11/15
Konfiguration
  Format beibehalten
  Auswerten
–  ausearch
–...
Auditd
Rsyslog – deutsche Qulitästarbeit für Linux38 14/11/15
Konfiguration
  Keine Audit Logs im „messages“ des Syslogser...
Auditd
Rsyslog – deutsche Qulitästarbeit für Linux39 14/11/15
Änderungen von Files in Realtime erkennen
  Beispiel Audit R...
Auditd
Rsyslog – deutsche Qulitästarbeit für Linux40 14/11/15
Änderungen von Files in Realtime erkennen
  In Rsyslog Konfi...
Rsyslog – deutsche Qulitästarbeit für Linux14/11/15
Betrieb
Betrieb
Rsyslog – deutsche Qulitästarbeit für Linux42 14/11/15
Upgrade auf Oracle Linux 7.1
  Gibt Warnung aus
  Mit omrul...
Betrieb
Rsyslog – deutsche Qulitästarbeit für Linux43 14/11/15
Upgrade auf Oracle Linux 7.1
  Probleme mit X509 Zertifikat...
Betrieb
Rsyslog – deutsche Qulitästarbeit für Linux44 14/11/15
Upgrade auf Oracle Linux 7.1
  PID Filename geändert
Logrot...
Betrieb
Rsyslog – deutsche Qulitästarbeit für Linux45 14/11/15
Housekeeping
Logrotate
–  /etc/logrotate.d/syslog
–  Logrot...
Betrieb
Rsyslog – deutsche Qulitästarbeit für Linux46 14/11/15
Fehlersuche
  Debugging
export RSYSLOG_DEBUGLOG="/path/to/d...
Rsyslog – deutsche Qulitästarbeit für Linux14/11/15
Fazit
Fazit
Rsyslog – deutsche Qulitästarbeit für Linux48 14/11/15
Linux Distros nutzen Rsyslog
  Gute Performance
  Modulares D...
Roman Gächter
Principal Consultant
Roman.gaechter@trivadis.com
14/11/15 Bezeichnung Präsentation49
© Trivadis – Das Unternehmen50 14/11/15
Trivadis an der DOAG 2015
Ebene 3 - gleich neben der Rolltreppe
Wir freuen uns auf...
Nächste SlideShare
Wird geladen in …5
×

Rsyslog - Deutsche Qualitätsarbeit für Linux

404 Aufrufe

Veröffentlicht am

Rsyslog Deutsche Qualitätsarbeit fuer Linux
Roman Gaechter

Veröffentlicht in: Präsentationen & Vorträge
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
404
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Rsyslog - Deutsche Qualitätsarbeit für Linux

  1. 1. BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH Rsyslog – deutsche Qualitätsarbeit für Linux DOAG Jahrestagung 18. November 2015 Roman Gächter
  2. 2. Unser Unternehmen. © Trivadis – Das Unternehmen2 14/11/15 Trivadis ist führend bei der IT-Beratung, der Systemintegration, dem Solution Engineering und der Erbringung von IT-Services mit Fokussierung auf - und -Technologien in der Schweiz, Deutschland, Österreich und Dänemark. Trivadis erbringt ihre Leistungen aus den strategischen Geschäftsfeldern: Trivadis Services übernimmt den korrespondierenden Betrieb Ihrer IT Systeme. B E T R I E B
  3. 3. KOPENHAGEN MÜNCHEN LAUSANNE BERN ZÜRICH BRUGG GENF HAMBURG DÜSSELDORF FRANKFURT STUTTGART FREIBURG BASEL WIEN Mit über 600 IT- und Fachexperten bei Ihnen vor Ort. © Trivadis – Das Unternehmen3 14/11/15 14 Trivadis Niederlassungen mit über 600 Mitarbeitenden. Über 200 Service Level Agreements. Mehr als 4'000 Trainingsteilnehmer. Forschungs- und Entwicklungsbudget: CHF 5.0 Mio. Finanziell unabhängig und nachhaltig profitabel. Erfahrung aus mehr als 1'900 Projekten pro Jahr bei über 800 Kunden.
  4. 4. Agenda Rsyslog – deutsche Qulitästarbeit für Linux 4 14/ 11/ 15 1.  Konzept der Syslog Implementierung 2.  Rsyslog Übersicht Features 3.  Konfiguration Server Client 4.  Auditd 5.  Betrieb Upgrades Administration Fehlersuche 6.  Fazit
  5. 5. Rsyslog – deutsche Qulitästarbeit für Linux14/11/15 Syslog Konzept
  6. 6. Syslog Konzept Rsyslog – deutsche Qulitästarbeit für Linux6 14/11/15 Zentrale Ablage von Syslogs Syslog Server –  Zwei redundante Server   Verwenden von Rsyslog –  Neuer Standard für RHEL basierte Distributionen –  Enterprise Erweiterungen in Rsyslog •  high-performance“ •  „great security features“ •  Verschlüsselte Übertragung mit TLS •  „modular design“
  7. 7. Syslog Konzept Rsyslog – deutsche Qulitästarbeit für Linux7 14/11/15 Zentrale Ablage von Syslogs   Sammeln Security relevanter Logs   Korrelieren und trennen nach –  „priorities“ –  „facilities“   Audit Watches –  Alarmierung durch Rsyslog   Filter Rules –  Proaktive Reaktion auf Fehler
  8. 8. Übersicht Konzept Rsyslog – deutsche Qulitästarbeit für Linux8 14/11/15
  9. 9. Syslog Konzept Rsyslog – deutsche Qulitästarbeit für Linux9 14/11/15 Ablage-Struktur
  10. 10. Rsyslog – deutsche Qulitästarbeit für Linux14/11/15 Rsyslog
  11. 11. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux11 14/11/15 Dank an Rainer Gerhards   Deutsche Qualitätsarbeit setzt sich durch   Heute Standard bei Linux Distributionen –  Redhat basierte –  Debian basierte –  SuSE basierte
  12. 12. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux12 14/11/15 RFC‘s zu Syslog   RFC 3164 –  The BSD syslog Protocol (obsoleted by RFC 5424)   RFC 5424 –  The Syslog Protocol (obsoletes RFC 3164) –  https://tools.ietf.org/html/rfc5424   RFC 5425 –  Transport Layer Security Mapping for Syslog   RFC 5426 –  Transmission of Syslog Messages over UDP
  13. 13. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux13 14/11/15 „Facility Keywords“ für facility-basierte Filter   Ebene 1
  14. 14. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux14 14/11/15 Beispiel Zuordnung der „kernel“ Facility # Log all local kernel messages to the console # and /var/log/kern if $hostname == ‘syslogsrv1' and $syslogfacility == '0' then /var/log/kern
  15. 15. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux15 14/11/15 Facility values MUST be in the range of 0 to 23 inclusive
  16. 16. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux16 14/11/15 „Priority Keywords“ für priority-basierte Filter
  17. 17. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux17 14/11/15 Beispiel Zuordnung der „error“ priority if $syslogseverity == '3' then /u00/rsyslog/priority/error
  18. 18. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux18 14/11/15 Priorities aus RFC 5424
  19. 19. Rsyslog Übersicht Rsyslog – deutsche Qulitästarbeit für Linux19 14/11/15 Features   Homepage –  „RSYSLOG is the rocket-fast system for log processing“ –  „It offers high-performance, great security features and a modular design“   „Multi-threading“   TCP, SSL, TLS, RELP   MySQL, PostgreSQL, Oracle und mehr   Filterung der Syslog Message   „Fully configurable output format“   „Suitable for enterprise-class relay chains“
  20. 20. Rsyslog Features Rsyslog – deutsche Qulitästarbeit für Linux20 14/11/15 Struktur   Input Modules –  $ModLoad imuxsock •  provides support for local system logging –  $ModLoad imklog •  provides kernel logging support (previously done by rklogd) Rulesets –  Filtering
  21. 21. Rsyslog Features Rsyslog – deutsche Qulitästarbeit für Linux21 14/11/15 Struktur   Actions –  Schreiben in Files –  DB Backends –  Weiterleiten
  22. 22. Rsyslog Features Rsyslog – deutsche Qulitästarbeit für Linux22 14/11/15 Modules, functionality to be dynamically loaded from modules   $ModLoad MODULE_name   Filter modules   Library modules   Input modules   Output modules   Message modification modules   Parser modules   String generator modules   Template features
  23. 23. Rsyslog Features Rsyslog – deutsche Qulitästarbeit für Linux23 14/11/15 RELP   „Relaible Event Logging Protocol“   TLS Session Abbruch   RELP und TLS –  Mit 7.4.7 (2013-12-10) noch nicht unterstützt, erst ab 7.5.1 Jan 13 11:08:38 srv105 rsyslogd-2078: netstream session 0x4988510 will be closed due to error
  24. 24. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux24 14/11/15 Struktur und Konfigurations Management Tools   Aufteilen der Konfiguration –  Basis Konfig im/etc/rsyslog.conf •  Includes im /etc/rsyslog.d >  /etc/rsyslog.conf/server.conf >  /etc/rsyslog/client.conf Konfigurations Management Tools –  Puppet •  saz-rsyslog Module
  25. 25. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux25 14/11/15 Standard Syslog Syntax   Kann man verwenden # Everybody gets emergency messages *.emerg * *.info /u00/rsyslog/hosts/all/messages
  26. 26. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux26 14/11/15 /etc/rsyslog.conf   Modules $ModLoad imuxsock $ModLoad imklog $ModLoad imudp # Provides UDP syslog reception $UDPServerRun 514 $ModLoad imtcp # Provides TCP syslog reception $ModLoad imfile
  27. 27. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux27 14/11/15 TLS Verschlüsselung Certificate Files   Authentifizierung $DefaultNetstreamDriverCAFile /rsyslog/protected/CA_bundle.pem $DefaultNetstreamDriverCertFile /rsyslog/protected/server_cert.myhostname.pem $DefaultNetstreamDriverKeyFile /rsyslog/protected/server_private_myhostname.key $ActionSendStreamDriverAuthMode x509/name $ActionSendStreamDriverPermittedPeer syslog-server1.mydomain $ActionSendStreamDriverPermittedPeer syslog-server2.mydomain $ActionSendStreamDriverMode 1 # run driver in TLS-only mode
  28. 28. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux28 14/11/15 TLS Verschlüsselung   X509 Zertifikate –  Ab Oracle Linux 6 •  min. 2048 Bit Zertifikate –  Rsyslog Problem mit SHA2
  29. 29. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux29 14/11/15 Filter   Neues „style format“ –  Rainer Script if $msg contains 'Abort command issued' or $msg contains 'blocked for more than 120 seconds' or $msg contains 'checker reports path is down' or $msg contains 'kernel: device-mapper: multipath: Failing path' or $msg contains 'multipathd: checker failed path' or $msg contains ': mark as failed' or $msg contains 'checker reports path is up' or $msg contains 'require eh work' or $msg contains 'Error handler scsi_eh' or $msg contains 'FCP command status' or $msg contains 'aborting sp' or $msg contains 'firmware reported underrun' or $msg contains 'Dropped frame(s) detected' or $msg contains 'kernel: end_request: I/O error' or $msg contains 'error calling out /sbin/mpath_prio_alua' then /u00/rsyslog/applications/scripts/scsiaborts
  30. 30. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux30 14/11/15 Templates   Beispiel $template HostAudit, "/u00/rsyslog/applications/auditd/%HOSTNAME%/audit_log" $template auditFormat, "%msg%n" local5.* ?HostAudit;auditFormat
  31. 31. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux31 14/11/15 Rules   „forwarding rules“ # forward everything to remote servers *.* @@fqdn-syslogserver1:10514 *.* @@fqdn-syslogserver2:10514
  32. 32. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux32 14/11/15 Syntaxcheck   Zuerst testen vor Restart rsyslogd -N 1
  33. 33. Konfiguration Rsyslog – deutsche Qulitästarbeit für Linux33 14/11/15 Regex   POSIX ERE oder BRE   Online Regex Checker –  http://www.rsyslog.com/regex/ :msg, regex, "sshd.* session opened for user q[a-z0-9]*[0-9]” /lfs/oracle_audit/os.log
  34. 34. Rsyslog – deutsche Qulitästarbeit für Linux14/11/15 Auditd
  35. 35. Auditd Rsyslog – deutsche Qulitästarbeit für Linux35 14/11/15 Auditd   Zentrale Ablage der Audit Logs –  Korrelation von Sicherheitsvorfällen –  Zentrale Auswertung mit Audit Tools   Audit Watches –  Reaktion auf „audit watch“ Triggers mit Rsyslog
  36. 36. Auditd Rsyslog – deutsche Qulitästarbeit für Linux36 14/11/15 Konfiguration Imfile Module   Beispiel local5 $ModLoad imfile $InputFileName /var/log/audit/audit.log $InputFileTag tag_audit_log: $InputFileStateFile audit_log $InputFileSeverity info $InputFileFacility local5 $InputRunFileMonitor
  37. 37. Auditd Rsyslog – deutsche Qulitästarbeit für Linux37 14/11/15 Konfiguration   Format beibehalten   Auswerten –  ausearch –  aureport $template HostAudit, “/u00/rsyslog/auditd/%HOSTNAME%/audit_log" $template auditFormat, "%msg%n" local5.* ?HostAudit;auditFormat
  38. 38. Auditd Rsyslog – deutsche Qulitästarbeit für Linux38 14/11/15 Konfiguration   Keine Audit Logs im „messages“ des Syslogservers if $hostname == ‘syslogsrv1' and not ( $syslogfacility == '2' ) and not ( $syslogfacility == ‘21' ) and not ( $syslogfacility-text == 'cron' ) and not ( $syslogtag == 'tag_audit_log:' ) then /var/log/messages
  39. 39. Auditd Rsyslog – deutsche Qulitästarbeit für Linux39 14/11/15 Änderungen von Files in Realtime erkennen   Beispiel Audit Rule –  /etc/audit/audit.rules –  Dynamisch aktivieren -w /etc/sd_pam.conf -p w -k sd_pam.conf_changed auditctl -R /etc/audit/audit.rules
  40. 40. Auditd Rsyslog – deutsche Qulitästarbeit für Linux40 14/11/15 Änderungen von Files in Realtime erkennen   In Rsyslog Konfig $template FileWatcher, "%HOSTNAME% %msg%n" if $msg contains 'sd_pam.conf_changed' and $msg contains 'type=SYSCALL' then ^/usr/local/bin/generic_audit_filewatcher_alerter.ksh;FileWatcher
  41. 41. Rsyslog – deutsche Qulitästarbeit für Linux14/11/15 Betrieb
  42. 42. Betrieb Rsyslog – deutsche Qulitästarbeit für Linux42 14/11/15 Upgrade auf Oracle Linux 7.1   Gibt Warnung aus   Mit omruleset definieren   Kernel Logging *.emerg :omusrmsg:* *.emerg * #$ModLoad imklog # provides kernel logging support $ModLoad imjournal # provides access to the systemd journal
  43. 43. Betrieb Rsyslog – deutsche Qulitästarbeit für Linux43 14/11/15 Upgrade auf Oracle Linux 7.1   Probleme mit X509 Zertifikaten –  SSL-Lib akzeptiert nur noch 2048 Bit Keys –  2048 Bit mit MD5 signiert ?? –  2048 Bit mit SHA2 signiert ?? –  2048 Bit mit SHA1
  44. 44. Betrieb Rsyslog – deutsche Qulitästarbeit für Linux44 14/11/15 Upgrade auf Oracle Linux 7.1   PID Filename geändert Logrotate /var/run/syslogd.pid /var/run/rsyslogd.pid /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null`
  45. 45. Betrieb Rsyslog – deutsche Qulitästarbeit für Linux45 14/11/15 Housekeeping Logrotate –  /etc/logrotate.d/syslog –  Logrotate Debugging   Fehlersuche –  Syntaxchecker –  Debugging rsyslogd -N 1
  46. 46. Betrieb Rsyslog – deutsche Qulitästarbeit für Linux46 14/11/15 Fehlersuche   Debugging export RSYSLOG_DEBUGLOG="/path/to/debuglog" export RSYSLOG_DEBUG="Debug“ rsyslogd -dn
  47. 47. Rsyslog – deutsche Qulitästarbeit für Linux14/11/15 Fazit
  48. 48. Fazit Rsyslog – deutsche Qulitästarbeit für Linux48 14/11/15 Linux Distros nutzen Rsyslog   Gute Performance   Modulares Design   Rainer Script hilfreich   POSIX ERG „extended regex“   TLS Verschlüsselung   Templates
  49. 49. Roman Gächter Principal Consultant Roman.gaechter@trivadis.com 14/11/15 Bezeichnung Präsentation49
  50. 50. © Trivadis – Das Unternehmen50 14/11/15 Trivadis an der DOAG 2015 Ebene 3 - gleich neben der Rolltreppe Wir freuen uns auf Ihren Besuch. Denn mit Trivadis gewinnen Sie immer.

×