Linux SYSLOGポリシー

PLURAサービスは、情報セキュリティを目的とし、セキュリティに関して直接、的確なアプローチを試みています。

◈ SYSLOGポリシーとは

  • Linuxは基本的にSyslogを介して機能別ログを記録します。
  • /etc/rsyslog.confの内容です。
    #### RULES ##### Log all kernel messages to the console.
    # Logging much else clutters up the screen.

    #kern.* /dev/console
    # Log anything (except mail) of level info or higher.
    # Don’t log private authentication messages!
    *.info;mail.none;authpriv.none;cron.none /var/log/messages
    # The authpriv file has restricted access.
    authpriv.* /var/log/secure
    # Log all the mail messages in one place.
    mail.* -/var/log/maillog
    # Log cron stuff
    cron.* /var/log/cron
    # Everybody gets emergency messages
    #*.emerg *
    # Save news errors of level crit and higher in a special file.
    uucp,news.crit /var/log/spooler
    # Save boot messages also to boot.log
    local7.* /var/log/boot.log

 

◈ PluraサービスSYSLOGポリシー

  • Pluraサービスをインストールすると、最新バージョンのSyslogがインストールおよび更新され、CEETemplateが追加されます。
    template(name=”CEETemplate” type=”list”) {
    constant(value=”{“)

    constant(value=”\”@ceelog\”: “)
    constant(value=”{“) property(format=”jsonfr” name=”timegenerated” dateformat=”rfc3339″)

    constant(value=”,”) property(format=”jsonfr” name=”msg”)

    constant(value=”}”)
    constant(value=”}\n”)
    }

 

  • Pluraエージェントは、すべてのSyslogをCeelogに記録します。
  • *.* は、すべての “機能”と”重要度”のログを記録するという意味です。
    ex) authpriv.info /var/log/secure : authprivと呼ばれる機能に重大度がinfo上からログを/ var / log/ secureに記録するという意味である。
  • *.* この部分は、ユーザーが企業の特性に合わせて変更できます。
    $ModLoad mmjsonparse
    *.* :mmjsonparse:

    *.* /var/log/ceelog; CEETemplate

 

  • /var/log/ceelog の内容はご覧の通りです。
    [root@centos6 ~]# tail -f /var/log/ceelog
    –––––[pyellow][2015-11-19 15:36:41]–––––
    –––––[pyellow][2015-11-19 15:37:41]–––––
    {“@ceelog”: {“timegenerated”:”2015-11-19T15:42:48.277991+09:00″,”programname”:”rsyslogd”,”hostname”:”centos6″,”syslogtag”:”rsyslogd:”,”pri”:”46″,”pri-text”:”syslog.info”,”syslogfacility”:”5″,”syslogfacility-text”:”syslog”,”syslogseverity”:”6″,”syslogseverity-text”:”info”,”msg”:” [origin software=\”rsyslogd\” swVersion=\”8.14.0\” x-pid=\”32139\” x-info=\”http:\/\/www.rsyslog.com\”] exiting on signal 15.”}}

    {“@ceelog”: {“timegenerated”:”2015-11-19T15:42:48.447644+09:00″,”programname”:”rsyslogd”,”hostname”:”centos6″,”syslogtag”:”rsyslogd:”,”pri”:”46″,”pri-text”:”syslog.info”,”syslogfacility”:”5″,”syslogfacility-text”:”syslog”,”syslogseverity”:”6″,”syslogseverity-text”:”info”,”msg”:” [origin software=\”rsyslogd\” swVersion=\”8.14.0\” x-pid=\”7463\” x-info=\”http:\/\/www.rsyslog.com\”] start”}}
By |2018-01-22T16:49:54+00:00October 11th, 2015|Categories: テック|Tags: |Comments Off on Linux SYSLOGポリシー