Graylog2: сбор логов с оборудования Cisco. Часть 1

Рассматривается вариант сбора логов с коммутаторов и маршрутизаторов в системе Graylog2

Настройка логирования на Cisco

На коммутаторе\маршрутизаторе Cisco необходимо задать сервер сбора логов, а так-же указать какие логи необходимо отравить.

Указываем сервер сбора:


logging source-interface ИМЯ-ИНТЕРФЕЙСА
logging host IP-Адрес Сервера transport udp port 11001

Настраиваем правильное отображение времени:


service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec

Указываем категорию и уровень важности сообщений:


logging facility local7
logging trap debugging

Возможные варианты важности сообщений (logging trap)

Значение	Описание
Emergencies	Система не работоспособна
Alerts	Необходимо срочное вмешательство
Critical	Критические события
Errors	Сообщения о ошибках
Warning	Всевозможные предупреждения
Notifications	Различные важные уведомления
Informational	Информационные сообшения
Debugging	Отладочые сообщения

Назначаем использование имени узла в место его IP-Адреса, а так же запись лога при удачном и неудачном входе:


logging origin-id hostname
login on-failure log
login on-success log

Отменяем вывод информации в консоль и указываем собр лога в буфер устройства:


logging buffered 100000 informational
no logging console

Настраиваем архив команд с выводом на сервер логирования:


archive
log config
logging enable
logging size 200
hidekeys
notify syslog

Некоторые устройства, такие как коммутаторы 2960, 3560 или маршрутизаторы 2900 серии, изначально настроены отправлять информацию о статусе порта (up\down). Если вы не хотите получать данную информацию, то к каждому порту необходимо прописать:


no logging event link-status

Другие устройства, такие как коммутаторы 4948 изначально настроены не отправлять информацию о статусе порта (up\down) и если вы хотите получать данную информацию то необходимо прописать глобальную команду:


logging event link-status global

Настройка Graylog2

Основной задачей настройки является правильное указание типа получаемых данных и их правильное распознавание. Можно настроить самому, а можно воспользоваться готовым решением в виде JSON файла. Скачать можно тут.

• Код для параноиков, не желающих загружать файл)).

  {
  "id" : null,
  "name" : "Cisco routers and switches",
  "description" : "This content pack will spawn a Graylog message input on UDP port 11001 and properly parse messages from your Cisco Switches and Routers devices. Read more on http://itcrowd.top/graylog-cisco",
  "category" : "Cisco routers and switches",
  "inputs" : [ {
  "title" : "Cisco routers and switches",
  "configuration" : {
  "override_source" : "",
  "recv_buffer_size" : 262144,
  "bind_address" : "0.0.0.0",
  "port" : 11001
  },
  "type" : "org.graylog2.inputs.raw.udp.RawUDPInput",
  "global" : false,
  "extractors" : [ {
  "title" : "Facility",
  "type" : "REGEX",
  "configuration" : {
  "regex_value" : "^<(\\d.+)>"
  },
  "converters" : [ {
  "type" : "SYSLOG_PRI_FACILITY",
  "configuration" : { }
  } ],
  "order" : 0,
  "cursor_strategy" : "COPY",
  "target_field" : "facility",
  "source_field" : "message",
  "condition_type" : "NONE",
  "condition_value" : ""
  }, {
  "title" : "Level",
  "type" : "REGEX",
  "configuration" : {
  "regex_value" : "^<(\\d.+)>"
  },
  "converters" : [ {
  "type" : "SYSLOG_PRI_LEVEL",
  "configuration" : { }
  } ],
  "order" : 1,
  "cursor_strategy" : "COPY",
  "target_field" : "level",
  "source_field" : "message",
  "condition_type" : "NONE",
  "condition_value" : ""
  }, {
  "title" : "Source",
  "type" : "REGEX",
  "configuration" : {
  "regex_value" : ">?: (.+?):"
  },
  "converters" : [ ],
  "order" : 2,
  "cursor_strategy" : "COPY",
  "target_field" : "source",
  "source_field" : "message",
  "condition_type" : "NONE",
  "condition_value" : ""
  }, {
  "title" : "Timestamp",
  "type" : "REGEX",
  "configuration" : {
  "regex_value" : ">:\\s.+:\\s(.+?):\\s%"
  },
  "converters" : [ {
  "type" : "FLEXDATE",
  "configuration" : { }
  } ],
  "order" : 3,
  "cursor_strategy" : "COPY",
  "target_field" : "timestamp",
  "source_field" : "message",
  "condition_type" : "NONE",
  "condition_value" : ""
  }, {
  "title" : "Local facility",
  "type" : "REGEX",
  "configuration" : {
  "regex_value" : "%(.+?)-"
  },
  "converters" : [ {
  "type" : "LOWERCASE",
  "configuration" : { }
  } ],
  "order" : 4,
  "cursor_strategy" : "COPY",
  "target_field" : "local_facility",
  "source_field" : "message",
  "condition_type" : "NONE",
  "condition_value" : ""
  }, {
  "title" : "Local level",
  "type" : "REGEX",
  "configuration" : {
  "regex_value" : "%.+-(\\d?)-"
  },
  "converters" : [ {
  "type" : "NUMERIC",
  "configuration" : { }
  } ],
  "order" : 5,
  "cursor_strategy" : "COPY",
  "target_field" : "local_level",
  "source_field" : "message",
  "condition_type" : "NONE",
  "condition_value" : ""
  }, {
  "title" : "Message",
  "type" : "REGEX",
  "configuration" : {
  "regex_value" : "%.+-\\d+-\\w: (.*)$"
  },
  "converters" : [ ],
  "order" : 7,
  "cursor_strategy" : "COPY",
  "target_field" : "message",
  "source_field" : "message",
  "condition_type" : "NONE",
  "condition_value" : ""
  }, {
  "title" : "Mnemonic",
  "type" : "REGEX",
  "configuration" : {
  "regex_value" : "%.+-\\d-(.+?):"
  },
  "converters" : [ {
  "type" : "LOWERCASE",
  "configuration" : { }
  } ],
  "order" : 6,
  "cursor_strategy" : "COPY",
  "target_field" : "mnemonic",
  "source_field" : "message",
  "condition_type" : "NONE",
  "condition_value" : ""
  } ],
  "static_fields" : { }
  } ],
  "streams" : [ ],
  "outputs" : [ ],
  "dashboards" : [ ],
  "grok_patterns" : [ ]
  }

После чего вам необходимо войти в Graylog, в меню выбрать Systems - Content packs, выбрать Import content pack где и загрузить файл JSON. После чего там же, в Content packs, появится новый пункт Cisco routers and switches, который необходимо выбрать и нажать Apply content.

Далее в меню выбрать Systems - Inputs, убедиться, что соединение работает и нажать Show received messages, где будут отображаться входящие сообщения. Попробуйте создать какое нибудь событие на устройстве, к приму попытку входа с правильными или неправильными учетными данными. Для удобства отслеживания входящих сообщений в верхней части окна есть кнопка включения автообновления.

• 
• 
• 
• 
•  

Если ничего не работает.

1. Проверьте слушается ли нужный нам порт командой ss -ltu | grep 11001
В ответ вы должны получить что то на подобии: udp UNCONN 0 0 :::11001 :::*

Если записи нет, то ваш сервер не слушает порт, тогда проверьте работает ли соединение в Graylog в разделе Systems - Inputs, а так-же проверьте не блокирует ли данный порт файервол лог сервера.

2. Проверьте доступность лог сервера с устройства.