Logdatensammlung und -analyse sind aus der heutigen IT-Welt nicht mehr wegzudenken. syslog-ng ist in vielen Bereichen zur sicheren und zuverlässigen Sammlung bzw. Weiterleitung von Logdaten im Einsatz. Darüber hinaus bietet syslog-ng mittels patterndb eine effiziente Möglichkeit des Log-Preprocessings.
Vortragsschwerpunkte:
syslog-"Standards" in syslog-ng
Log-Preprocessing: On-the-fly Log-Klassifizierung und -Tagging mit patterndb
Quo vadis syslog-ng - Aktuelle Entwicklung und Ausblick
Talk zum Thema Nebenläufigkeit auf der OOP 2016 in München. Neben einer prinzipiellen Einführung und Motivation werden die Sprachen Erlang/OTP, Google Go und Pony vorgestellt. Weiter sind einige typische Designmuster sowie Fallstricke enthalten. Der Vortrag hatte die Dauer von 90 Minuten.
http://www.opitz-consulting.com
"Spark vs. PL/SQL" war das Thema unserer Experten Christopher Thomsen und Marian Strüby bei der DOAG 2015 Konferenz und Ausstellung.
Mit Hadoop 2.0 öffnete sich die Big Data-Plattform für neue Algorithmen und Technologien, um auch als Basis für In-memory Computing, Ad-Hoc Query und Streaming-Anwendungen nutzbar zu sein. Apache Spark etabliert sich hier derzeit als Vorreiter unter den Hadoop-Allzweckwaffen und kommt in immer mehr Produkten - unter anderem auch dem Big Data Connector des Oracle Data Integrators und Oracle Big Data Discovery - als Ausführungsframework zum Einsatz. Was Spark ist, wo es in den neuen Oracle-Produkten in welcher Form zum Einsatz kommt und wie sich ETL-Prozesse, -Werkzeuge und die Datenintegration im Data Warehouse dadurch verändern, soll in diesem Vortrag exemplarisch durch Gegenüberstellung von in PL/SQL und Spark implementierten Anwendungsbeispielen aufgezeigt werden.
_ _
Über uns:
Als führender Projektspezialist für ganzheitliche IT-Lösungen tragen wir zur Wertsteigerung der Organisationen unserer Kunden bei und bringen IT und Business in Einklang. Mit OPITZ CONSULTING als zuverlässigem Partner können sich unsere Kunden auf ihr Kerngeschäft konzentrieren und ihre Wettbewerbsvorteile nachhaltig absichern und ausbauen.
Über unsere IT-Beratung: http://www.opitz-consulting.com
Unser Leistungsangebot: http://www.opitz-consulting.com
Karriere bei OPITZ CONSULTING: http://www.opitz-consulting.com
Talk zum Thema Nebenläufigkeit auf der OOP 2016 in München. Neben einer prinzipiellen Einführung und Motivation werden die Sprachen Erlang/OTP, Google Go und Pony vorgestellt. Weiter sind einige typische Designmuster sowie Fallstricke enthalten. Der Vortrag hatte die Dauer von 90 Minuten.
http://www.opitz-consulting.com
"Spark vs. PL/SQL" war das Thema unserer Experten Christopher Thomsen und Marian Strüby bei der DOAG 2015 Konferenz und Ausstellung.
Mit Hadoop 2.0 öffnete sich die Big Data-Plattform für neue Algorithmen und Technologien, um auch als Basis für In-memory Computing, Ad-Hoc Query und Streaming-Anwendungen nutzbar zu sein. Apache Spark etabliert sich hier derzeit als Vorreiter unter den Hadoop-Allzweckwaffen und kommt in immer mehr Produkten - unter anderem auch dem Big Data Connector des Oracle Data Integrators und Oracle Big Data Discovery - als Ausführungsframework zum Einsatz. Was Spark ist, wo es in den neuen Oracle-Produkten in welcher Form zum Einsatz kommt und wie sich ETL-Prozesse, -Werkzeuge und die Datenintegration im Data Warehouse dadurch verändern, soll in diesem Vortrag exemplarisch durch Gegenüberstellung von in PL/SQL und Spark implementierten Anwendungsbeispielen aufgezeigt werden.
_ _
Über uns:
Als führender Projektspezialist für ganzheitliche IT-Lösungen tragen wir zur Wertsteigerung der Organisationen unserer Kunden bei und bringen IT und Business in Einklang. Mit OPITZ CONSULTING als zuverlässigem Partner können sich unsere Kunden auf ihr Kerngeschäft konzentrieren und ihre Wettbewerbsvorteile nachhaltig absichern und ausbauen.
Über unsere IT-Beratung: http://www.opitz-consulting.com
Unser Leistungsangebot: http://www.opitz-consulting.com
Karriere bei OPITZ CONSULTING: http://www.opitz-consulting.com
Production-ready Infrastruktur in 3 WochenAndré Goliath
Es gibt sie doch noch: Projekte die man auf der grünen Wiese starten darf - incl. Infrastruktur. Nur AWS als Cloud Provider ist gesetzt. In dieser Session gebe ich nach den ersten Wochen Einblicke und Lessons Learned, wie wir vom Zustand eines weißen Blatt Papiers auf ein Account- und Infrastruktur-Setup gekommen sind, mit dem wir zumindest mal sofort loslegen können ohne die üblichen „Abkürzungen“ bei Qualität und Featureumfang zu gehen. Ein wesentlicher Teil davon ist das Tooling von gruntwork.io, welches in diesem Kontext kurz vorgestellt wird. [Disclaimer: Wir sind auch nur normale Kunden mit einer gruntworks-Subscription ohne weitere Connections dorthin – diese Session wird also explizit keine gruntwork.io Werbeveranstaltung, auch wenn sich das inhaltlich nicht 100%ig vermeiden lässt]
nagiosplugin - eine Python-Bibliothek für Monitoring-Plugins Christian Kauhaus
Auch wenn in der letzten Zeit sehr viel Bewegung in die Monitoring-Szene gekommen ist (#monitoringsucks etc.), werden die Platzhirsche Nagios/Icinga und ihre Standards auf absehbare Zeit nicht verschwinden. Das Nagios-Plugin-API stellt eine sehr weit verbreitete Schnittstelle zur Anbindung einzelner Checks an Monitoring-Systeme dar. Obwohl das API in den Grundzügen sehr einfach ist, ist der Programmieraufwand für vollständig konforme Plugins erstaunlich hoch.
Die nagiosplugin-Bibliothek nimmt dem Entwickler viele Details ab, so dass er sich auf den Inhalt seiner Checks konzentrieren kann. Der Vortrag führt in das Schreiben von Nagios-kompatiblen Plugins ein, zeigt den typischen Aufbau von Nagios-Plugins und das Grundprinzip eigener Plugins. Die Konfiguration und der Betrieb von Monitoring-Systemen im Großen sollen nicht thematisiert werden.
Video: http://pyvideo.org/video/1460/nagiosplugin-eine-python-bibliothek-fur-monitor
Konferenzseite: https://2012.de.pycon.org/programm/schedule/sessions/45/
Projekt-Homepage: https://projects.gocept.com/projects/nagiosplugin/wiki
Secure Scripting SIG Security Köln Dienstag, 16. Oktober 2012
Wo hin nur mit den Passwörtern in Oracle Scripten?
Passwörter "verstecken"
Datenbank Skripte vor Manipulationen schützen
Mit Java 8 haben endlich Lambdas in den Sprachumfang von Java Einzug gehalten. Mittels Lambdas lassen sich viele Probleme kurz und prägnant ausdrücken. Vorliegende Auskopplung aus Handouts zur Vorlesung Programmieren I führt Lambdas und Streams ein und erläutert den Einsatz an vielen kleineren Beispielen.
In loser Folge werden Tipps und Tricks aus allen Bereichen der Programmierung in Lotus Notes/Domino vorgestellt. @Formula, LotusScript, XPages, LS2CApi.
Wie konfiguriere ich den Domino Designer?
Welche kostenlosen Tools können mir meine Arbeit erleichtern?
Warum ist es wichtig, richtig zu "dimmen"?
Richtext kann mit LotusScript im Backend nicht in Richtext eingefügt werden. Oder etwa doch? @Transform / @Sort. Was kann man denn damit machen?
8.5.3, was gibt es Neues im Bereich @Formula / LotusScript.
Zielgruppe sind alle, die sich mit Applikationsentwicklung beschäftigen. Anfänger und "alte Hasen"; es ist für jeden etwas dabei.
Kenntnisse: Grundlagen der Entwicklung in Lotus Notes/Domino
Dies ist der zweite Teil der Tour de Dart. Der erste Teil hat die Sprache Dart an sich betrachtet. Dieser zweite Teil betrachtet erweiterte Aspekte wie:
Das Library System von Dart und den zugehörigen Paketmanager pub. Die asynchrone Programmierung mittels Streams, Futures und Isolates. File I/O mit Dart. Zugriff auf den DOM-Tree mittels Selektoren sowie Event Handling (Client side). Server und Client side Programmierung unter Nutzung von HttpServer, dem Dart webframework Start und Websockets. Datenkonvertierungen (HTML escaping, XSS prevention, decoding and encoding of JSON, base64 encoding and decoding, hashfunction (CryptoUtils)).
OSDC 2011 | Automatische Netzwerkdokumentation mit NetDot und RANCID by Jens ...NETWAYS
Netzwerke sind ein Kernbestandteil eines jeden Datacenters. Neben den zahlreichen Monitoring-Lösungen wie Nagios oder Icinga gibt es aber auch für das Management von Netzkomponenten wie Routern und Switchen zahlreiche Open-Source-Tools die jedem Admin das Leben erleichtern können. Einige dieser Werkzeuge sollen in diesem Vortrag vorgestellt werden:
Dataservices - Data Processing mit MicroservicesQAware GmbH
IT-Tage 2018, Frankfurt: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware)
=== Dokument bitte herunterladen für bessere Lesbarkeit! ===
Abstract: Data Processing und Microservices sind ein perfektes Gespann. In dieser Kombination können Microservices dazu verwendet werden, ein flexibles, Event-getriebenes und skalierbares System von lose gekoppelten Datenverarbeitungsaufgaben aufzubauen. Diesen Ansatz nennen wir Dataservices.
In diesem Vortrag stellen wir zunächst die wesentlichen Konzepte und einige Schlüsseltechnologien vor, um Dataservice-Architekturen zu realisieren. Anschließend werden wir die einzelnen Bestandteile einer exemplarischen Datenverarbeitungs-Pipeline schrittweise komponieren und die Showcase-Pipeline in der Cloud zur Ausführung bringen und skalieren.
OSMC 2008 | Nagios & OTRS Integration by Jens BotheNETWAYS
Der Workshop beschäftigt sich damit Nagiosmeldungen im OTRS zu verarbeiten, aus dem OTRS Acknowledges an das meldende Nagiossystem abzusetzen.
Im 2. Teil des Workshops wird auf die Möglichkeit eingegangen OTRS spezifische Daten zu überwachen, z.B. Eskalationen oder die Anzahl von Tickets in bestimmten Queues. Als Schnittstelle kommt das erweiterte offene Systemmonitoringmodul von OTRS zum Einsatz, dessen Release während der Nagios Konferenz geplant ist.
OSMC 2018 | Katzeninhalt mit ein wenig Einhornmagie by Carsten KoebkeNETWAYS
Performance Zahlen ansprechend als Grafik mit Hilfe von Grafana in Icinga Web2 einbinden. Von der Installation über die Konfiguration des Grafana Modules bis hin zum Erstellen eigener Dasboards/Panels, sowie Annotations aus Datenquellen wie der Icinga2 IDO oder Elastic Search. Zum Abschluss ein kurzer Ausflug in die Welt der Themes für Icinga Web2, denn Themes erstellen kann jeder und Monitoring darf auch Spaß machen.
Weitere ähnliche Inhalte
Ähnlich wie OSMC 2010 | Logverarbeitung mit syslog-ng - Status und Zukunft by Martin Grauel
Production-ready Infrastruktur in 3 WochenAndré Goliath
Es gibt sie doch noch: Projekte die man auf der grünen Wiese starten darf - incl. Infrastruktur. Nur AWS als Cloud Provider ist gesetzt. In dieser Session gebe ich nach den ersten Wochen Einblicke und Lessons Learned, wie wir vom Zustand eines weißen Blatt Papiers auf ein Account- und Infrastruktur-Setup gekommen sind, mit dem wir zumindest mal sofort loslegen können ohne die üblichen „Abkürzungen“ bei Qualität und Featureumfang zu gehen. Ein wesentlicher Teil davon ist das Tooling von gruntwork.io, welches in diesem Kontext kurz vorgestellt wird. [Disclaimer: Wir sind auch nur normale Kunden mit einer gruntworks-Subscription ohne weitere Connections dorthin – diese Session wird also explizit keine gruntwork.io Werbeveranstaltung, auch wenn sich das inhaltlich nicht 100%ig vermeiden lässt]
nagiosplugin - eine Python-Bibliothek für Monitoring-Plugins Christian Kauhaus
Auch wenn in der letzten Zeit sehr viel Bewegung in die Monitoring-Szene gekommen ist (#monitoringsucks etc.), werden die Platzhirsche Nagios/Icinga und ihre Standards auf absehbare Zeit nicht verschwinden. Das Nagios-Plugin-API stellt eine sehr weit verbreitete Schnittstelle zur Anbindung einzelner Checks an Monitoring-Systeme dar. Obwohl das API in den Grundzügen sehr einfach ist, ist der Programmieraufwand für vollständig konforme Plugins erstaunlich hoch.
Die nagiosplugin-Bibliothek nimmt dem Entwickler viele Details ab, so dass er sich auf den Inhalt seiner Checks konzentrieren kann. Der Vortrag führt in das Schreiben von Nagios-kompatiblen Plugins ein, zeigt den typischen Aufbau von Nagios-Plugins und das Grundprinzip eigener Plugins. Die Konfiguration und der Betrieb von Monitoring-Systemen im Großen sollen nicht thematisiert werden.
Video: http://pyvideo.org/video/1460/nagiosplugin-eine-python-bibliothek-fur-monitor
Konferenzseite: https://2012.de.pycon.org/programm/schedule/sessions/45/
Projekt-Homepage: https://projects.gocept.com/projects/nagiosplugin/wiki
Secure Scripting SIG Security Köln Dienstag, 16. Oktober 2012
Wo hin nur mit den Passwörtern in Oracle Scripten?
Passwörter "verstecken"
Datenbank Skripte vor Manipulationen schützen
Mit Java 8 haben endlich Lambdas in den Sprachumfang von Java Einzug gehalten. Mittels Lambdas lassen sich viele Probleme kurz und prägnant ausdrücken. Vorliegende Auskopplung aus Handouts zur Vorlesung Programmieren I führt Lambdas und Streams ein und erläutert den Einsatz an vielen kleineren Beispielen.
In loser Folge werden Tipps und Tricks aus allen Bereichen der Programmierung in Lotus Notes/Domino vorgestellt. @Formula, LotusScript, XPages, LS2CApi.
Wie konfiguriere ich den Domino Designer?
Welche kostenlosen Tools können mir meine Arbeit erleichtern?
Warum ist es wichtig, richtig zu "dimmen"?
Richtext kann mit LotusScript im Backend nicht in Richtext eingefügt werden. Oder etwa doch? @Transform / @Sort. Was kann man denn damit machen?
8.5.3, was gibt es Neues im Bereich @Formula / LotusScript.
Zielgruppe sind alle, die sich mit Applikationsentwicklung beschäftigen. Anfänger und "alte Hasen"; es ist für jeden etwas dabei.
Kenntnisse: Grundlagen der Entwicklung in Lotus Notes/Domino
Dies ist der zweite Teil der Tour de Dart. Der erste Teil hat die Sprache Dart an sich betrachtet. Dieser zweite Teil betrachtet erweiterte Aspekte wie:
Das Library System von Dart und den zugehörigen Paketmanager pub. Die asynchrone Programmierung mittels Streams, Futures und Isolates. File I/O mit Dart. Zugriff auf den DOM-Tree mittels Selektoren sowie Event Handling (Client side). Server und Client side Programmierung unter Nutzung von HttpServer, dem Dart webframework Start und Websockets. Datenkonvertierungen (HTML escaping, XSS prevention, decoding and encoding of JSON, base64 encoding and decoding, hashfunction (CryptoUtils)).
OSDC 2011 | Automatische Netzwerkdokumentation mit NetDot und RANCID by Jens ...NETWAYS
Netzwerke sind ein Kernbestandteil eines jeden Datacenters. Neben den zahlreichen Monitoring-Lösungen wie Nagios oder Icinga gibt es aber auch für das Management von Netzkomponenten wie Routern und Switchen zahlreiche Open-Source-Tools die jedem Admin das Leben erleichtern können. Einige dieser Werkzeuge sollen in diesem Vortrag vorgestellt werden:
Dataservices - Data Processing mit MicroservicesQAware GmbH
IT-Tage 2018, Frankfurt: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware)
=== Dokument bitte herunterladen für bessere Lesbarkeit! ===
Abstract: Data Processing und Microservices sind ein perfektes Gespann. In dieser Kombination können Microservices dazu verwendet werden, ein flexibles, Event-getriebenes und skalierbares System von lose gekoppelten Datenverarbeitungsaufgaben aufzubauen. Diesen Ansatz nennen wir Dataservices.
In diesem Vortrag stellen wir zunächst die wesentlichen Konzepte und einige Schlüsseltechnologien vor, um Dataservice-Architekturen zu realisieren. Anschließend werden wir die einzelnen Bestandteile einer exemplarischen Datenverarbeitungs-Pipeline schrittweise komponieren und die Showcase-Pipeline in der Cloud zur Ausführung bringen und skalieren.
OSMC 2008 | Nagios & OTRS Integration by Jens BotheNETWAYS
Der Workshop beschäftigt sich damit Nagiosmeldungen im OTRS zu verarbeiten, aus dem OTRS Acknowledges an das meldende Nagiossystem abzusetzen.
Im 2. Teil des Workshops wird auf die Möglichkeit eingegangen OTRS spezifische Daten zu überwachen, z.B. Eskalationen oder die Anzahl von Tickets in bestimmten Queues. Als Schnittstelle kommt das erweiterte offene Systemmonitoringmodul von OTRS zum Einsatz, dessen Release während der Nagios Konferenz geplant ist.
OSMC 2018 | Katzeninhalt mit ein wenig Einhornmagie by Carsten KoebkeNETWAYS
Performance Zahlen ansprechend als Grafik mit Hilfe von Grafana in Icinga Web2 einbinden. Von der Installation über die Konfiguration des Grafana Modules bis hin zum Erstellen eigener Dasboards/Panels, sowie Annotations aus Datenquellen wie der Icinga2 IDO oder Elastic Search. Zum Abschluss ein kurzer Ausflug in die Welt der Themes für Icinga Web2, denn Themes erstellen kann jeder und Monitoring darf auch Spaß machen.
Ähnlich wie OSMC 2010 | Logverarbeitung mit syslog-ng - Status und Zukunft by Martin Grauel (20)
OSMC 2018 | Katzeninhalt mit ein wenig Einhornmagie by Carsten Koebke
OSMC 2010 | Logverarbeitung mit syslog-ng - Status und Zukunft by Martin Grauel
1. Logverarbeitung
– Status un
07 Sep07. Sep
g mit syslog-ng
nd Zukunft
pt 2010pt. 2010
BalaBit IT Security
martin.grauel@balabit.com
2. yslog-ng Historieyslog ng Historie
yslog-ng und syslog-”Standards”
atterndb-Framework
uo vadis syslog-ng – Neues in v3.2 un
eue Lizenzierung
nd danach
3. rstes Release 1998 meistverbreitete syrstes Release 1998, meistverbreitete sy
eisten Linux-Distributionen
on Anfang an auf zentrales Logging auson Anfang an auf zentrales Logging aus
ele Probleme des sylsogd Protokolls w
Erweitertes Time-Stamp Format
Zuverlässiger Logmessage Trang g g
Verschlüsselte, (gegenseitig) au
Fl t l d M B ffFlow-control und Message Buffe
…
Verfügbar in unterschiedlichen Editio
Open Source EditionOpen Source Edition
Premium Edition: seit 2007
syslog-ng Store Box: seit 2008
yslogd-Alternative und verfügbar für diyslogd Alternative und verfügbar für di
sgerichtetsgerichtet
wurden adressiert
nsport (TCP)p ( )
thentisierte Kommunikation
iering
onen (inkl. separater Roadmap)
4. SD-syslog RFC 3164 (Informational)SD syslog RFC 3164 (Informational)
bsoleted by RFC 5424 (Erster wirkliche
FC 5425: TLS-transport of syslog
FC 5426: UDP-transport of syslog
ternet Draft für TCP-syslog Transport v
//ftp.ietf.org/internet-drafts/draft-gerhards-syslog-
syslog-ng unterstützt IETF-syslog seit
d was ist mit zuverlässiger Nachrichtend was ist mit zuverlässiger Nachrichten
FC 3195 → Standard Track, aber nicht
FC 5848 → Standard Track bzgl. syslo
Für syslog-ng: Planungen in beide RFür syslog ng: Planungen in beide R
...
er Standard – seit März 2009)
verfügbar
-plain-tcp-05.txt
v3.0 (Dec. 2008)
nübertragung auf Applikationsebene?nübertragung auf Applikationsebene?
t wirklich akzeptiert und verbreitet
og-sign
Richtungen noch ohne konkrete RoadmRichtungen noch ohne konkrete Roadm
6. HEADER STRUC
<PRI>VERSION TIMESTAMP HOS
<165>1 2003-10-11T22:14:15.003Z m
CTURED-DATA MSG
STNAME APP-NAME PROCID MSGID
mymachine.example.com eventlog - ID47
7. HEADER STRUC
[ SD-ID PARAM-NAME
[exampleSDID@18372
syslog-ng kann seit v3.1 benutzerspezifis
N /V l P i d l M füName/Value-Paare sind als Macros verfü
etc.
CTURED-DATA MSG
1=”PARAM-VALUE1” … ] ...
UTF-8
system="X" eventID="123"]
sche Structured Data Daten setzen (rewritin
ü b d kö i Filt t t tügbar und können in Filtern etc. genutzt wer
8. HEADER STRUC
M
A
Leider immer noch keine Struktur in der e
Was nun?
→ Wir strukturieren die Nachricht selbst→ Wir strukturieren die Nachricht selbst
CTURED-DATA MSG
MSG
ASCII | UTF-8
eigentlichen Nachricht …
!!
9. atterndb ist ein mächtiges Framework uatterndb ist ein mächtiges Framework u
Log-Nachrichten zu klassifiziere
Log-Nachrichten zu taggen
Strukturierte Daten aus Logs zug
Zusätzliche Daten den Lognachr
U d i 3 2 E t C l tiUnd neu in 3.2: Event-Correlatio
umum
n
extrahieren
richten hinzuzufügen
!on!
10. nktionsweise?nktionsweise?
Der db-parser Parser lädt ein pattern
Struktur
db-parser vergleicht eingehende Log
Prinzip 'longest prefix' matchg
Pattern Parser werden verwendet, va
und bei Bedarf daraus Name/Value-P
→ Sehr gute Performance im Vergle
~O(1)!
Pattern Parser:
@NUMBER@: Matching auf dezima@NUMBER@: Matching auf dezima
@STRING@: Matching auf alphanum
@IP 4@ Matching a f IP 4 Adresse@IPv4@: Matching auf IPv4 Adresse
...
ndb.xml File und macht daraus eine Radix-
gnachrichten mit vordefinierten Pattern nach
ariable Daten in Logmessages zu analysiere
Paare zu generieren
ich zu herkömmlichen RegEx-Vergleichen …
ale und hexa-dezimale Werteale und hexa dezimale Werte
merische Zeichen (keine Leerzeichen)
enen
11. g-Nachrichtg
Accepted password for martin from 10.0.0.17 po
cepted @ESTRING:usracct authmethod: @for
ttern
cepted @ESTRING:usracct.authmethod: @for
Pv4:usracct.device: @port @NUMBER:: @@A
gging und Klassifizierung der Log Message
<rule provider='patterndb' id='4dd5a329-da83-4
gging und Klassifizierung der Log-Message
...
<tag>usracct</tag>
<tag>secevt</tag>
chrichten mit zusätzlichen Daten anreichern
<value name='usracct.type'>login</valu
<value name='usracct.sessionid'>$PID<
<value name='usracct.application'>$PRpp $
<value name='secevt.verdict'>ACCEPT
ort 20117 ssh2
@ESTRING:usracct username: @from@ESTRING:usracct.username: @from
ANYSTRING:usracct.service@
4876-a431-ddcb59c2858c' class='system'>
ue>
</value>
ROGRAM</value>
T</value>
12. d jetzt?j
Wir können nach Tags filtern und die Na
schrieben
Die folgenden Name/Value-Parre haben wir u
usracct.authmethod='pap
usracct.username='mart
usracct.device='10.0.0.1
usracct.service='ssh2'
usracct.type='login'
usracct.sessionid=$PID
usracct.application=$PR
secevt.verdict='ACCEPT
chricht in strukturierter Form in eine Datenbank
u. a. zur Verfügung:
assword'
tin'
7'
ROGRAM
T'
13. auf damit in die Datenbank
e("pgsql")e("pgsql")
abase("db")
e("login ${R YEAR} ${R MONTH} ${R DAY}")e( login_${R_YEAR}_${R_MONTH}_${R_DAY} )
umns("time int", "password varchar(64)", "username v
vice varchar(64)", "service varchar(64)", "type varcha
ct varchar(65)")
ues("${R_UNIXTIME}", "${usracct.authmethod}", "${
usracct.device}", "${usracct.service}", "${usracct.ty
usracct.sessionid}", "${usracct.application}", "${sec
e | method | username | device | service | type
-----+----------+----------+-----------+---------+-------+-----
694304 | password | martin | 10.0.0.17 | ssh2 |
d i d St t d D t T il IETF loder in den Structured Data Teil von IETF-syslog
varchar(64)",
r(64)", "sessionid int", "application varchar(64)",
{usracct.username}",
ype}",
cevt.verdict}")
e | app | verdict
--+--------
login | sshd | ACCEPT
g.
14. n Tool - Teil von syslog-ng (bin/pdbtool) – zum Ery g g ( p )
enbank Regeln.
Beispiel war mit Real-Time Message Processing
i t it b it i ti d L M dis ist mit bereits existierenden Log-Messages die
dbt l t h f / /l / filtpdbtool match -f /var/log/messages --filter=
template='$ISODATE,${usracct.username
nfaches Parsing von existierenden Logs ist dadu
...
2010-09-15T03:52:38+02:00 m2010 09 15T03:52:38 02:00,m
2010-09-15T05:10:15+02:00,m
...
rstellen, Testen und Konvertieren von Pattern-,
g (db-parser() als Teil des Message-Pfads).
i ll ? K i P bl it dbt l!e wir parsen wollen? Kein Problem mit pdbtool!
"t (" t")"="tags("usracct")" --
e},${secevt.verdict}n'
rch möglich.
martin ACCEPTmartin,ACCEPT
martin,REJECT
15. ttern schreiben ist einfach, aber ist doch zeitraub,
ötigt
tternize – Funktion von pdbtool - , kann sehr sch
patternize basiert auf SLCT – simple logfile c
tternize ist (noch) nicht perfekt, aber ein guter An( ) g
rtin@ubuntu:~$ pdbtool patternize -f /var/log/me@ $ p p g
atterns>
<pattern>Accepted publickey for @ESTRING
sh2</pattern>
atterns>
tterndb Projekttterndb Projekt ...
bend wenn man sie für viele unterschiedliche Ev
hnell Pattern von Logs generieren
clustering tool (entwickelt von Risto Vaarandi)
nfang:g
essagesg
G:: @from @ESTRING:: @port @ESTRING::
16. laBit hat eine patterndb Community Projekt ins Lp y j
hqualitativer Pattern zur Verfügung zu stellen
p://www.balabit.com/wiki/patterndb
Es existieren bereits Patterns für diverse
Pattern-Download Seite in Planungg
Jeder, der Pattern erstellt hat, kann dies
Zusammenarbeit mit anderen ProjektenZusammenarbeit mit anderen Projekten
e komme ich an die Pattern?
it-Repository:
it clone git://git balabit hu/bazsi/syslog-ng-patterit clone git://git.balabit.hu/bazsi/syslog-ng-patter
U d d i f h di P tt D t b k d t
pdate-patterndb
Und dann einfach die Pattern-Datenbank updaten
p p
Leben gerufen mit dem Ziel, eine große Anzahlg , g
e Login/Logout messages
e im Rahmen des Projekts zur Verfügung stellen
wir logcheck ossec etc möglichwir logcheck, ossec etc. möglich
ndb git /opt/syslog-ng/etc/patterndb dndb.git /opt/syslog-ng/etc/patterndb.d
n
17. slog-ng 3.2 OSE ermöglicht erstmalig Korrelationg g g g
ntergrund
Viele Anwendungen oder Systeme loggeViele Anwendungen oder Systeme logge
Ziel ist es, die Daten von den verschiden
haben
ispiel:
ostfix-Logostfix Log
ABF28C6DD: message-id=<30101001085250.ABF2
ABF28C6DD: from=<martin@foo>, size=332, nrcpt
ABF28C6DD t ti @b l l l d lABF28C6DD: to=<martin@bar>, relay=local, delay=
status=sent
An der Stelle wollen wir den Sender und Empfä
SQL wäre eine Möglichkeit, aber auch …g ,
n von Nachrichten
en mehrere Nachrichten für das gleiche Eventen mehrere Nachrichten für das gleiche Event
nen Log-Messages in einer korrelierten Form zu
28C6DD@ubuntu-martin.foo>
=2 (queue active)
38 d l 37/0 03/0/0 11 d 2 0 0=38, delays=37/0.03/0/0.11, dsn=2.0.0,
nger in zusammen abspeichern:
→ patterndb
18. r schreiben Pattern für Postfix Sender und Empfp
me/Value-Paare in einer State-Table speichern
...
<patterns>
<pattern>@ESTRING:qid::@ from=<@ES
</patterns></patterns>
<store id="$qid" timeout="60"/>
...
n 'join' der Daten findet statt, wenn die Message
...
<values join="$qid">
<value name="sender">${sender}@1</value><value name sender >${sender}@1</value>
...
D it h b i S d d E fä iDamit haben wir Sender und Empfänger in e
in Datenbanken, Files, SD-Elementen ...
fänger Messages und lassen syslog-ng dieg g y g g
STRING:sender:>@</pattern>
mit dem Empfänger ankommt.
i St kt d kö Si b iiner Struktur und können Sie zusammen abspei
19. uginsugins
Enwicklung vom monolithischen Prog
Pluginsg
Plugins werden zur Laufzeit geladen
Plugins für Sources Destinations FiPlugins für Sources, Destinations, Fi
Format, Template-Funktionen ...
Einfache Einbindung der PluginsEinfache Einbindung der Plugins
@module afsocket
@module afsql
@ d l ffil@module affile
.
Keine Änderung in der Konfig-Syntax!
gramm zu einem Core-Programm mit vielen
n
ilter Parser Rewrite Operationen Messageilter, Parser, Rewrite Operationen, Message
20. SCL – syslog-ng Configuration LibrarySCL syslog ng Configuration Library
Vereinfachung der syslog-ng Konfigurations-
Ziel syslog ng auf jeder Plattform mit der gleZiel, syslog-ng auf jeder Plattform mit der gle
@include 'scl.conf'
…
ource s_system {
system();
cl.conf lädt das 'confgen' plugin, dass den syste
Generell ist confgen ein neues Plugin mit deGenerell ist confgen ein neues Plugin, mit de
eingebunden werden können
Datei durch Aufteilung in einzelne Bausteine
eichen Konfiguration laufen zu lassen!eichen Konfiguration laufen zu lassen!
m() Source-Driver plattformspezifisch definiert
em Programm Outputs als Teil der Konfigurationem Programm-Outputs als Teil der Konfiguration
21. pport für non-syslog Message Sources/Formatepp y g g
Denkbar sind non-syslog Message Sour
SQLSQL
snmp
…
Daten von dieses Sources sind bereits s
→ Normalisierung alles Messages!
Ein experimentelles Plugin in syslog-ng
process acco nting erarbeitenprocess accounting zu verarbeiten
→ pa→ pa
rces wie
strukturiert, also verwenden wir die Struktur.
3.2 ermöglicht es, strukturierte Daten vom Linux
acct()acct()
22. CCT → Accounting des Kernels nach Beendigung g
cct() Plugin wird durch SCL geladen und generie
r/log/account/pacct
V Paare können z. B. in Templates verwendet we
.pacct.ac_comm
.pacct.ac_udi
.pacct.ac_btime
...
e wtmp-Datei (User Logins/Logours) ist ähnlich s
ng eines Prozesses (spezielles Binärformat)g ( p )
ert Name/Value-Paare der strukturierten Daten v
erden
strukturiert, fehlt nur das Plugin ...
23. ehr Infos zu sylsog-ng >=3.2y g g
http://www.balabit.com/network-security/
system/features/roadmap
http://bazsi.blogs.balabit.com/2010/08/sy
/syslog-ng/opensource-logging-
yslog-ng-3-2alpha2-released/
24. ulti-threated Architekturulti threated Architektur
Skalierbarkeit auf mehrere CPU/Cor
Si ifik t P f Z hSignifikanter Performance-Zuwachs
emeinsamer OSE/PE Kern
es
t terwartet
25. slog-ng wurde als zu wenig offen kritisiertslog ng wurde als zu wenig offen kritisiert
syslog-ng OSE lizenziert unter GPLv
C i ht T f fü C t ib tiCopyright Transfer für Contributions
Version wurde offengehalten
slog ng PE wurde 2007 als kommerzielle 'clslog-ng PE wurde 2007 als kommerzielle cl
atures wurden für syslog-ng PE entwickelt u
ch umgekehrtch umgekehrt
as funktionierte eigentlich ganz gut, war abe
mmunity akzeptierty p
syslog-ng verlor in einigen Distributionen se
v2
f d li h Mö li hk it i k i llerforderlich; Möglichkeit einer kommerzielle
osed source' Version releasedosed source Version released
und später meistens auch in OSE integriert
r nicht wirklich von der Free Software
inen Status als Standard Logging Daemon
26. el ist es, syslog-ng 'offener' zu machenel ist es, syslog ng offener zu machen
e technische Basis dafür bildet die neue Plu
e sieht das aus?
slog-ng Core ist unter LGPL (Lesser GPL) lislog-ng Core ist unter LGPL (Lesser GPL) li
slog-ng OSE und PE können dadurch auf de
G (OS )ugins werden unter der GPL (OSE) oder ein
ein Agreement für Contributions mehr notwe
der kann proprietäre oder freie Plugins schr
ugin-Architektur
zenziertzenziert
em gleichen Core basieren
ä ( ) öffer proprietären Lizenz (PE) veröffentlicht
ndig
reiben und mit dem syslog-ng Core nutzen
27. slog-ng OSE Webseiteg g
://www.balabit.com/network-security/syslog-ng/o
laBit Dokumentation
// b l bit / t/d t ti://www.balabit.com/support/documentation
tterndb-Projekt
://www balabit com/wiki/patterndb://www.balabit.com/wiki/patterndb
tterndb-Schema
://git.balabit.hu/?p=bazsi/syslog-ng-patterndb.git
laBit syslog-ng Mailing-Liste
s://lists.balabit.hu/mailman/listinfo/syslog-ng
zsi's Blog
://bazsi.blogs.balabit.com/
l 3 2 islog-ng 3.2 git repo
/git.balabit.hu/bazsi/syslog-ng-3.2.git
://git.balabit.hu/?p=bazsi/syslog-ng-3.2.git;a=sum
slog-ng Sourcen und Packages
://www.balabit.com/downloads/files?path=/syslo
opensource-logging-system
t;a=blob;f=SCHEMAS.txt;hb=HEAD
mmary
og-ng/open-source-edition