اضافه کردن دستگاههای Syslog
اضافهکردن خودکار دستگاههای Syslog
دستگاههایی که از syslog برای ارسال و ثبت گزارشهای سیستمی استفاده میکنند، شامل انواع مختلفی از تجهیزات و نرمافزارها هستند. در اینجا چند نمونه از دستگاهها و سیستمهایی که معمولاً از پروتکل syslog پشتیبانی میکنند آورده شده است:
| دستگاه/سیستم | توضیحات |
|---|---|
| سرورها | سیستمعاملهای لینوکس، یونیکس، و ویندوز (ویندوز از طریق Windows Event Log) |
| روترها و سوئیچها | دستگاههای شبکه که برای ارسال لاگها به سرورهای syslog استفاده میشوند |
| دستگاههای امنیتی | IPS/IDS، فایروالها، و دیگر سیستمهای امنیتی شبکه |
| دستگاههای ذخیرهسازی | SAN و NAS که اطلاعات مربوط به وضعیت و خطاها را ارسال میکنند |
| دوربینهای مداربسته IP | دستگاههای نظارتی که گزارشهای خود را به سرور syslog ارسال میکنند |
| سیستمهای کنترل دسترسی | دستگاههایی که لاگهای مربوط به دسترسی به منابع را به سرور syslog ارسال میکنند |
| نرمافزارهای مدیریت سیستم | برنامههایی برای مانیتورینگ و جمعآوری لاگها از دستگاههای مختلف |
این دستگاهها برای ارسال گزارشهای سیستمی مانند خطاها، هشدارها و اطلاعات عملکرد به سرورهای syslog استفاده میکنند تا مدیریت و تجزیهوتحلیل آسانتر شود.
پیشنیاز: برای پیکربندی خدمات Syslog در دستگاه خود اینجا کلیک کنید.
زمانی که syslogها به سرور EventLog Analyzer ارسال میشوند، دستگاههای syslog به طور خودکار اضافه میشوند. این قابلیت به ویژه برای اضافه کردن دستگاههای متعدد syslog بدون نیاز به دخالت دستی مفید است.
چگونگی عملکرد: هنگامی که یک بسته syslog به سرور EventLog Analyzer میرسد، این سرور سعی میکند آدرس IP منبع را شناسایی کرده و آن را به نام مربوطه تبدیل کند.
- اگر شناسایی موفق باشد: دستگاه syslog با نام میزبان شناسایی شده اضافه خواهد شد.
- اگر شناسایی موفق نباشد: دستگاه syslog با استفاده از آدرس IP اضافه خواهد شد.
توجه:
اطمینان حاصل کنید که پورتهای پیشفرض: UDP-513، 514، TCP-514 در قوانین ورودی فایروال باز هستند.
برای پیکربندی پورتهای TLS اینجا کلیک کنید.
اگر آدرس IP منبع یا نام میزبان شناسایی شده قبلاً در پایگاه داده موجود باشد، لاگهای دریافتی به آن دستگاه مربوط خواهند شد.
اضافهکردن دستگاههای Syslog به صورت دستی
در صفحه مدیریت دستگاهها، به تب دستگاههای Syslog رفته و روی دکمه +اضافه کردن دستگاهها کلیک کنید.
نام دستگاه یا آدرس IP را در فیلد دستگاهها وارد کرده و روی دکمه اضافه کردن کلیک کنید. برای کشف و اضافه کردن دستگاههای Syslog در شبکه خود به صورت خودکار مراحل زیر را دنبال کنید:
- روی لینک کشف و اضافه کردن در پنجره اضافه کردن دستگاههای Syslog کلیک کنید. شما میتوانید دستگاههای Syslog را در شبکه خود بر اساس محدوده IP (آغاز IP تا پایان IP) یا CIDR کشف کنید.
- محدوده آغاز IP و پایان IP یا محدوده CIDR را وارد کرده و روی گزینه بعدی کلیک کنید.
- اعتبارنامههای SNMP را انتخاب کنید تا دستگاههای Syslog را به طور خودکار در شبکه شما کشف کند. به طور پیشفرض، اعتبارنامههای عمومی SNMP میتوانند برای اسکن دستگاههای Syslog در شبکه شما استفاده شوند.
- شما همچنین میتوانید یک اعتبارنامه SNMP اضافه کنید با کلیک بر روی دکمه +اضافه کردن اعتبارنامه. پس از انتخاب اعتبارنامه SNMP، روی دکمه اسکن کلیک کنید تا دستگاههای Syslog در محدوده IP یا CIDR مشخص شده به طور خودکار کشف شوند.
- دستگاهها را با کلیک روی جعبههای انتخاب مربوطه انتخاب کنید. شما میتوانید به راحتی دستگاه را با استفاده از جعبه جستجو یا فیلتر کردن بر اساس نوع دستگاه و فروشنده جستجو کنید.
- روی دکمه اضافه کردن دستگاهها کلیک کنید تا دستگاهها برای نظارت اضافه شوند.
پس از اضافه شدن یک دستگاه Unix، از شما خواسته میشود که پیکربندی ارسال خودکار لاگها را انجام دهید.
توجه: برای پیکربندی دستی ارسال خودکار لاگها برای دستگاههای دیگر به اینجا مراجعه کنید.
پیکربندی سرور رله
توجه: برای پیکربندی دستی ارسال خودکار لاگها برای دستگاههای دیگر به اینجا مراجعه کنید.
مورد استفاده: چندین دستگاه syslog بستهها را به یک سرور مرکزی syslog ارسال میکنند که سپس آنها را به سرور EventLog Analyzer ارسال میکند.
چگونگی عملکرد: پیشنیاز: syslogهای ارسال شده باید با استاندارد RFC 3164 تطابق داشته باشند و پیکربندی سرور رله در EventLog Analyzer باید فعال باشد.
نمونه لاگ:<34>Oct 18 22:00:15 rootmachine su: 'su root' failed for test on /dev/pts/
توجه:
نام میزبان (rootmachine) از بسته syslog استخراج میشود و دستگاه syslog با نام میزبان اضافه میشود.
اگر نام میزبان قبلاً در پایگاه داده موجود باشد، لاگها به آن دستگاه مربوط خواهند شد.
دستگاه syslog میتواند از نوع Unix، Cisco، Fortinet، Palo Alto و غیره باشد.
پیکربندی DHCP
مورد استفاده: زمانی که آدرسهای IP دستگاههای syslog به طور مکرر به دلیل DHCP تغییر میکنند، یک دستگاه جدید با آدرس IP جدید اضافه میشود هر بار که IP تغییر میکند و اگر نام شناسایی نشود.
چگونگی عملکرد: پیشنیاز: syslogهای ارسال شده از تمام دستگاههای syslog به EventLog Analyzer باید با استاندارد RFC 3164 تطابق داشته باشند و پیکربندی DHCP در EventLog Analyzer باید فعال باشد.
نمونه لاگ:<34>Oct 18 22:00:15 rootmachine su: 'su root' failed for test on /dev/pts/8
توجه:
نام میزبان (rootmachine) از بسته syslog استخراج میشود و دستگاه syslog با نام میزبان اضافه میشود.
اگر نام میزبان قبلاً در پایگاه داده موجود باشد، لاگها به دستگاه مربوطه اختصاص داده خواهند شد.
