Data Domain - Konfigurering av syslog og secure-syslog

Konfigurere syslog

Et beskyttelsessystem eksporterer følgende facility.priority-velgere for loggfiler.

Hvis du vil ha informasjon om hvordan du administrerer velgerne og mottar meldinger på et tredjepartssystem, kan du se leverandørdokumentasjonen for mottakssystemet.

• *.notice - Sender alle meldinger på varselet prioritet og høyere.
• *.alert - Sender alle meldinger på varselet prioritet og høyere (varsler er inkludert i *.notice).
• Kern.* - Sender alle kjernemeldinger (kern.info loggfiler).

Informasjonen i log host Kommandoer administrerer prosessen med å sende loggmeldinger til et annet system.

Vise konfigurasjonen av loggfiloverføringen

Trykk på log host show CLI-kommando for å vise om overføring av loggfiler er aktivert, og hvilke verter som mottar loggfiler.

Trinn
Hvis du vil vise konfigurasjonen, skriver du inn i log host show kommando.

Eksempel

# log host show

Ekstern logging er aktivert.
Ekstern logging verter
Log-server

Aktivere og deaktivere overføring av loggmeldinger

Du må bruke CLI-kommandoer til å aktivere eller deaktivere overføring av loggmeldinger.

Trinn

1. Hvis du vil aktivere sending av loggmeldinger til andre systemer, bruker du log host enable kommando.
2. Hvis du vil deaktivere sending av loggmeldinger til andre systemer, bruker du log host disable kommando.

Legge til eller fjerne en mottakervert

Du må bruke CLI-kommandoer for å legge til eller fjerne en mottakervert.

Trinn

1. Hvis du vil legge til et system i listen som mottar loggmeldinger fra beskyttelsessystemet, bruker du kommandoen.
2. Hvis du vil fjerne et system fra listen som mottar systemloggmeldinger, bruker du kommandoen: # log host del.

Eksempel
Følgende kommando legger systemet som heter log-server til vertene som mottar loggmeldinger.

# log host add log-server

Følgende kommando fjerner systemet som heter log-server fra vertene som mottar loggmeldinger.

# log host del log-server

Følgende kommando deaktiverer sending av logger og sletter listen over destinasjonsvertsnavn.

# log host reset

Konfigurere sikker systemlogg for kryptert videresending av logger

DDOS gir mulighet til å kryptere videresending av logg til en ekstern vert. Bruk CLI til å konfigurere denne funksjonaliteten.

Om denne oppgaven
Secure-syslog støtter anonym modus, som bare bruker sertifikatgodkjenning på serversiden. Dette krever import:

Eksempel på trinn

Neste trinn

The syslog server requires a CA certificate, host certificate, and host key. The following example shows a sample server-side

configuration for secure-syslog:

global(

DefaultNetstreamDriver="gtls"

DefaultNetstreamDriverCAFile="/etc/rsyslog.d/cert/cacert.pem"

DefaultNetstreamDriverCertFile="/etc/rsyslog.d/cert/ser_cert.pem"

DefaultNetstreamDriverKeyFile="/etc/rsyslog.d/cert/serkey.pem"

)

$ModLoad imtcp # TCP listener

$InputTCPServerStreamDriverMode 1 # run driver in TLS-only mode

$InputTCPServerStreamDriverAuthMode anon

$InputTCPServerRun 10514 # start up listener at port 10514

• CA-sertifikatet for syslog-serveren på DD-systemet
• Vertssertifikatet og vertsnøkkelen på syslog-serversystemet
  Standard Secure-syslog-serverport er 10514. DDOS støtter flere syslog-servere. Når flere syslog-servere konfigureres, bruker de den samme sikre syslog-serverporten som er konfigurert på DD-systemet.
• Tilkobling til sikker syslog-serveren mislykkes
• CA-sertifikatet for sikker syslog-server ser ut til å være ugyldig
  Fullfør følgende trinn for å konfigurere secure-syslog.

  1. Kjør log secure-syslog host add <host> -kommandoen for å legge til secure-syslog-verten i systemet.

     # log secure-syslog host add 10.198.177.6

     Sikker ekstern vertslogging er ikke aktivert. Aktiver med 'log secure-syslog host enable'.

     Verten "10.198.177.6" lagt til.
     
     •Verten må samsvare med CN-genereringen under opprettelsen av vertssertifikatet.
     
     • Kontroller også at DD kan løse dette navnet.

  2. Kjør adminaccess certificate import ca application secure-syslog -kommandoen for å importere CA-sertifikatet for secure-syslog-serveren.

     # adminaccess certificate import ca application secure-syslog

     Skriv inn sertifikatet, og trykk deretter på Kontroll-D, eller trykkpå Kontroll-C for å avbryte.

     MIIDgTCCAmmgAwIBAgIJAIsFi6huU/QSMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV BAYTAlVTMQswCQYDVQQIDAJZWTELMAkGA1UEBwwCSlMxHDAaBgNVBAoME0RlZmF1 bHQgQ29tcGFueSBMdGQxEDAOBgNVBAMMBzEuMi4zLjQwHhcNMjMwMzI4MDc0MzAz WhcNMjYwMzI3MDc0MzAzWjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCWVkxCzAJ BgNVBAcMAkpTMRwwGgYDVQQKDBNEZWZhdWx0IENvbXBhbnkgTHRkMRAwDgYDVQQD DAcxLjIuMy40MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArQIWAlhv KqSY/iaXS5O6vxJ9HHSgts7OWI/uhjO9yA/may2yHBvjxmLheg1ixseOjpKxvLfY Of9ufLGKWpbVIJGoXkG6x+zde1hwbctK4EhN0XTJ/xoUVVu/F2DqeeM1B6bt+26Q GR2xx3kJuFMBxtDvcrql/yXPH2BNPHyJJ6CIa1hwbx5iwxJJNUkLe/pjKBhRNyS0 T4trEwGgsNOVSyYGCkAo3BWPyijBagatPQFs36SrOVc3AcFu3ie9q67NEJDxOwfk
     
     	iFHvT8zYVRkDNYYmN7wt76TGK4G8HuldyZ19z+0fa6m6pMKbuOht19PtiP3MBXWh e+jZYuzrmPVRHwIDAQABo1AwTjAdBgNVHQ4EFgQUXLSU4KHIiNlnXAKJdCexeA9X ROwwHwYDVR0jBBgwFoAUXLSU4KHIiNlnXAKJdCexeA9XROwwDAYDVR0TBAUwAwEB /zANBgkqhkiG9w0BAQsFAAOCAQEAUt0kgFbSfegkskrVDv4DwKKWlIkxgBJEVsvH y+T16KszhedvUOUIM2quv6J1E1BqmrUlQSYb8RbJqOO6vWpruxVd4RYBSRIJzQT0 p3fGV3M90oi/bhmSt7v/Q7DpzzJgxDVSuKNXMf4WgPY212pubmUMfJFkDkK0t/pG 5OnLL9ChsAvZSX5mHDr7wbojO+GJJNAeLvLSBVtnNyB1e1xj0dpheIYyVP329sPN C79uP+HdXma0ujOQgqpnpwAYY0faB6tcb/mkn/SyL30Fx01HaXRwdF6CivoakOgw Hkrf88XDMPXBK4kstEqGoO0RRFPL0tAQN4hu+hQpRmr03nzhyQ==

     SHA1-fingeravtrykket for det importerte CA-sertifikatet er:

     AD:61:28:84:71:EB:5B:7F:E7:9A:EC:3B:16:25:9B:99:28:9E:33:58

     Vil du importere dette sertifikatet? (ja|nei) [ja]: ja CA-sertifikat importert for programmer : "secure-syslog".

  3. Kjør adminaccess certificate show imported-ca application secure-syslog for å kontrollere at sertifikatet ble importert.

     # adminaccess certificate show imported-ca application secure-syslog
     
     	Subject Type Application Valid From Valid Until
     
     	 Fingerprint
     
     	------- ----------- ------------- ------------------------
     
     	------------------------ -----------------------------------------------------------
     
     	1.2.3.4 imported-ca secure-syslog Tue Mar 28 00:43:03 2023 Fri Mar 27 00:43:03
     
     	2026 AD:61:28:84:71:EB:5B:7F:E7:9A:EC:3B:16:25:9B:99:28:9E:33:58
     
     	------- ----------- ------------- ------------------------
     
     	------------------------ -----------------------------------------------------------
     
     	Certificate signing request (CSR) exists at /ddvar/certificates/
     
     	CertificateSigningRequest.csr

  4. Kjør log secure-syslog host enable -kommando for å aktivere videresending av sikker syslog-logg.

     # log secure-syslog host enable

     Sikker-syslog ekstern vertslogging er aktivert.

  5. Kjør log secure-syslog host show Kommando for å bekrefte videresending av sikker SYSLOG-logg er aktivert.

     # log secure-syslog host show

     Sikker syslog ekstern logging er aktivert.

     Verter
     for ekstern logging 10.198.177.6

  6. Kjør log secure-syslog server-port show -kommandoen for å kontrollere porten for videresending av sikker syslog-logg.

     # log secure-syslog server-port show

     Serverport 10514

  7. Kjør om nødvendig log secure-syslog server-port set port-number kommando for å endre portnummeret.

Andre syslog-kommandoer

log host add <host> Add a remote logging host
log host del <host> Remove a remote logging host
log host disable Disable logging to remote hosts
log host enable Aktiver logging to remote hosts
  logg vert tilbakestilling Tilbakestill (til standard) alle eksterne logging verter
logg vert vis Vis ekstern logging verter
logg server-port tilbakestilling Tilbakestiller syslog portnummer
logg server-port angi <port-nummer> Angir syslog portnummer
logg server-port show Vis syslog serviceport port

# log secure-syslog server-port set port-number