Data Domain — настройка syslog и secure-syslog

Summary: Некоторые сообщения журнала могут передаваться из системы защиты в другие системы. DDOS использует syslog для публикации сообщений журнала в Удаленные системы.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Настройка syslog

Система защиты экспортирует следующие селекторы facility.priority для файлов журналов.

Сведения об управлении селекторами и получении сообщений в системе стороннего производителя см. в документации поставщика для системы приема.

  • *.notice - Отправляет все сообщения с приоритетом уведомления и выше.
  • *.alert - Отправляет все сообщения с приоритетом оповещения и выше (оповещения включены в *.notice).
  • мужик.* - Отправляет все сообщения ядра (kern.info лог-файлы).

 

В строке log host Команды управляют процессом отправки сообщений журнала в другую систему.

Просмотр конфигурации передачи файлов журнала

Используйте клавишу log host show Команда интерфейса командной строки для просмотра включенной передачи файлов журналов и какие хосты получают файлы журналов.

Стремянка
Чтобы отобразить конфигурацию, введите log host show .

Пример

# log host show

Удаленное ведение журнала включено.
Хосты
удаленного ведения журналов Log-сервер

Включение и отключение передачи сообщений журнала

Для включения или отключения передачи сообщений журнала необходимо использовать команды CLI.

Действия

  1. Чтобы включить отправку сообщений журнала в другие системы, используйте команду log host enable .
  2. Чтобы отключить отправку сообщений журнала в другие системы, используйте команду log host disable .

Добавление или удаление хоста получателя

Для добавления или удаления хоста приемника необходимо использовать команды интерфейса командной строки.

Действия

  1. Чтобы добавить систему в список, которая получает сообщения журнала системы защиты, используйте команду.
  2. Чтобы удалить систему из списка, в который поступают сообщения системного журнала, используйте команду: # log host del.

Пример
Эта команда добавляет систему с именем log-server к хостам, получающим сообщения журнала.

# log host add log-server

Приведенная ниже команда удаляет системный сервер с именем log-server с хостов, получающих сообщения журнала.

# log host del log-server

Приведенная ниже команда отключает отправку журналов и очищает список имен хостов назначения.

# log host reset

 

Настройка secure-syslog для зашифрованной пересылки журналов

Примечание. Secure-syslog доступен начиная с DDOS 7.12.

DDOS предоставляет возможность шифрования переадресации журналов на удаленный хост. Для настройки этой функции используйте интерфейс командной строки.

Об этой задаче
Secure-syslog поддерживает анонимный режим, в котором используется только аутентификация сертификата на стороне сервера. Для этого необходимо импортировать:

Примеры шагов

Дальнейшие действия

The syslog server requires a CA certificate, host certificate, and host key. The following example shows a sample server-side

configuration for secure-syslog:

global(

DefaultNetstreamDriver="gtls"

DefaultNetstreamDriverCAFile="/etc/rsyslog.d/cert/cacert.pem"

DefaultNetstreamDriverCertFile="/etc/rsyslog.d/cert/ser_cert.pem"

DefaultNetstreamDriverKeyFile="/etc/rsyslog.d/cert/serkey.pem"

)

$ModLoad imtcp # TCP listener

$InputTCPServerStreamDriverMode 1 # run driver in TLS-only mode

$InputTCPServerStreamDriverAuthMode anon

$InputTCPServerRun 10514 # start up listener at port 10514

 

  • Сертификат источника сертификатов сервера syslog в системе DD
  • Сертификат хоста и ключ хоста в системе
    сервера syslog. Порт сервера secure-syslog по умолчанию — 10514. DDOS поддерживает несколько серверов syslog. Если настроено несколько серверов syslog, они используют один и тот же порт сервера secure-syslog, настроенный в системе DD.
  • Сбой подключения к серверу secure-syslog
  • Сертификат CA сервера secure-syslog, по-видимому, недействителен
    Для настройки secure-syslog выполните следующие действия.

    1. Запустите log secure-syslog host add <host> для добавления хоста secure-syslog в систему.

      # log secure-syslog host add 10.198.177.6

      Безопасное ведение удаленных хостов не включено. Включите с помощью команды «log secure-syslog host enable».

      Добавлен хост «10.198.177.6».

      •Хост должен совпадать с CN, сгенерированным во время создания сертификата хоста.

      •Также убедитесь, что DD может разрешить это имя.

    2. Запустите adminaccess certificate import ca application secure-syslog команда для импорта сертификата CA для сервера secure-syslog.

      # adminaccess certificate import ca application secure-syslog

      Введите сертификат и нажмите Control-D или нажмитеControl-C, чтобы отменить операцию.

      MIIDgTCCAmmgAwIBAgIJAIsFi6huU/QSMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV BAYTAlVTMQswCQYDVQQIDAJZWTELMAkGA1UEBwwCSlMxHDAaBgNVBAoME0RlZmF1 bHQgQ29tcGFueSBMdGQxEDAOBgNVBAMMBzEuMi4zLjQwHhcNMjMwMzI4MDc0MzAz WhcNMjYwMzI3MDc0MzAzWjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCWVkxCzAJ BgNVBAcMAkpTMRwwGgYDVQQKDBNEZWZhdWx0IENvbXBhbnkgTHRkMRAwDgYDVQQD DAcxLjIuMy40MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArQIWAlhv KqSY/iaXS5O6vxJ9HHSgts7OWI/uhjO9yA/may2yHBvjxmLheg1ixseOjpKxvLfY Of9ufLGKWpbVIJGoXkG6x+zde1hwbctK4EhN0XTJ/xoUVVu/F2DqeeM1B6bt+26Q GR2xx3kJuFMBxtDvcrql/yXPH2BNPHyJJ6CIa1hwbx5iwxJJNUkLe/pjKBhRNyS0 T4trEwGgsNOVSyYGCkAo3BWPyijBagatPQFs36SrOVc3AcFu3ie9q67NEJDxOwfk

	iFHvT8zYVRkDNYYmN7wt76TGK4G8HuldyZ19z+0fa6m6pMKbuOht19PtiP3MBXWh e+jZYuzrmPVRHwIDAQABo1AwTjAdBgNVHQ4EFgQUXLSU4KHIiNlnXAKJdCexeA9X ROwwHwYDVR0jBBgwFoAUXLSU4KHIiNlnXAKJdCexeA9XROwwDAYDVR0TBAUwAwEB /zANBgkqhkiG9w0BAQsFAAOCAQEAUt0kgFbSfegkskrVDv4DwKKWlIkxgBJEVsvH y+T16KszhedvUOUIM2quv6J1E1BqmrUlQSYb8RbJqOO6vWpruxVd4RYBSRIJzQT0 p3fGV3M90oi/bhmSt7v/Q7DpzzJgxDVSuKNXMf4WgPY212pubmUMfJFkDkK0t/pG 5OnLL9ChsAvZSX5mHDr7wbojO+GJJNAeLvLSBVtnNyB1e1xj0dpheIYyVP329sPN C79uP+HdXma0ujOQgqpnpwAYY0faB6tcb/mkn/SyL30Fx01HaXRwdF6CivoakOgw Hkrf88XDMPXBK4kstEqGoO0RRFPL0tAQN4hu+hQpRmr03nzhyQ==

      Отпечаток SHA1 для импортированного сертификата источника сертификатов:

      AD:61:28:84:71:EB:5B:7F:E7:9A:EC:3B:16:25:9B:99:28:9E:33:58

      Импортировать этот сертификат? (да|нет) [yes]: да Сертификат CA импортирован для приложений: «secure-syslog».

    3. Запустите adminaccess certificate show imported-ca application secure-syslog , чтобы убедиться, что сертификат импортирован.

      # adminaccess certificate show imported-ca application secure-syslog

	Subject Type Application Valid From Valid Until

	 Fingerprint

	------- ----------- ------------- ------------------------

	------------------------ -----------------------------------------------------------

	1.2.3.4 imported-ca secure-syslog Tue Mar 28 00:43:03 2023 Fri Mar 27 00:43:03

	2026 AD:61:28:84:71:EB:5B:7F:E7:9A:EC:3B:16:25:9B:99:28:9E:33:58

	------- ----------- ------------- ------------------------

	------------------------ -----------------------------------------------------------

	Certificate signing request (CSR) exists at /ddvar/certificates/

	CertificateSigningRequest.csr

    4. Запустите log secure-syslog host enable Команда для включения пересылки журналов secure-syslog.

      # log secure-syslog host enable

      Включено ведение журнала удаленного хоста Secure-syslog.

    5. Запустите log secure-syslog host show Команда для проверки того, что включена переадресация журналов secure-syslog.

      # log secure-syslog host show

      Включено удаленное ведение журнала Secure-syslog.

      Хосты
      удаленного ведения журнала 10.198.177.6

    6. Запустите log secure-syslog server-port show для проверки порта на наличие пересылки журнала secure-syslog.

      # log secure-syslog server-port show

      Серверный порт 10514

    7. Если необходимо, запустите команду log secure-syslog server-port set port-number для изменения номера порта.

Additional Information

Другие команды

syslog Хост журнала Добавить <хост> Добавить удаленный хост ведения журнала Хост
журнала del <host> Удалить хост журнала удаленного хоста
ведения журналов Отключить Отключить ведение журнала на хостах журналов удаленных хостов Включить ведение журнала на удаленных хостах

  Сброс хоста журнала Сброс (по умолчанию) Все удаленные хосты
ведения журнала Показать хосты
удаленного ведения журнала Сброс порта сервера Сброс номера порта системного журнала Порт сервера Set номер порта syslog Порт сервера set <port-number> Задает номер порта syslog Порт сервера log show Показать порт сервиса syslog

 
Служба Протокол Порт Настраиваемый порт По умолчанию Описание
Syslog UDP 514 Нет Disabled Используется системой для отправки сообщений системного журнала, если эта функция включена. Используйте команду show хоста журнала для отображения хостов назначения и состояния службы.
Secure-syslog TCP 10514 Да Disabled  Используется системой для отправки зашифрованных сообщений syslog, если эта функция включена. Используйте команду «log secure-syslog host show» для отображения состояния хоста назначения и сервиса. Применение 
# log secure-syslog server-port set port-number
, чтобы задать порт хоста назначения. Для всех настроенных хостов назначения настроен один и тот же порт.

Affected Products

Data Domain
Article Properties
Article Number: 000205689
Article Type: How To
Last Modified: 08 Feb 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.