مقدمه
در این سند ماژول Syslog در کنسول مدیریتی پادویش و تنظیمات و امکانات موجود در آن تشریح شده است.
پس از مطالعه این سند، خواننده معماری این ماژول را درک نموده و قادر خواهد بود که کنسول مدیریتی پادویش را برای ارسال لاگ مطابق پروتکل Syslog به یک لاگسرور یا سامانه SIEM و مانند آن پیکربندی کند. همچنین لیست پیغامهای ضدویروس پادویش به همراه شیوه پردازش آنها در انتهای سند آورده شده است.
درباره پروتکل Syslog
پروتکل Syslog پروتکل ارسال و جمعآوری لاگهای متنی از انواع تجهیزات مختلف در شبکه است. این لاگها میتوانند همه نوع محتوایی از عملکرد سیستم، رخدادهای ارتباطی، وقایع امنیتی و غیره را در بر بگیرند و اصولا پیغامهایی متنی با اندکی فراداده ثابت (مانند تاریخ و محل و درجه اهمیت رخداد) هستند که برای هر تجهیز یا سامانه باید مطابق الگوی خاص آن پردازش شوند.
پیشفرض پروتکل Syslog ارسال پکت از نوع UDP بر روی پورت 514 است ولی انواع دیگر مبتنی بر TCP و رمزنگاری نیز دارد. در حال حاضر کنسول مدیریتی پادویش از ارسال اطلاعات مبتنی بر UDP پشتیبانی میکند.
از آنجاییکه هدف این پروتکل جمعآوری کل اطلاعات در یک محل واحد و پردازش آنهاست، قبل از ادامه باید شما یک Syslog Server یا سامانهای که قابلیت دریافت این پیغامها را داشته باشد در شبکه خود مستقر کرده و یک IP و آدرس مشخص قابل دسترس برای آن تعیین کرده باشید.
ماژول Syslog در کنسول مدیریتی پادویش
معماری ارتباطی
با انجام تنظیمات زیر در سرور مدیریتی پادویش، میتوانید این لاگها را که شامل رخدادهای سیستمهای کلاینت است را از طریق پروتکل Syslog دریافت نمایید.
مکانیزم ارسال به این شکل است که کلاینتهای پادویش مرتبا گزارشها و لاگهای خود را به سرور مدیریتی پادویش ارسال میکنند. به محض دریافت این لاگها، سرور مدیریتی لاگ را به فرمت مناسب توسط پروتکل Syslog به یک یا چند سرور ارسال میکند. بدین ترتیب کلاینتها به صورت مستقیم با سرور Syslog در ارتباط نیستند و تنها لازم است سرور مدیریتی پادویش قادر به ارسال پکت به سمت این سرور باشد.
روش انجام تنظیمات Syslog در کنسول مدیریتی پادویش
جهت انجام تنظیمات، باید یک فایل log.cfg در مسیر اصلی نصب سرور پادویش – معمولا C:\Program Files (x86)\Amnpardaz\Server\log.cfg
– ایجاد نموده و تنظیمات زیر را در آن انجام دهید:
rootCategory=DEBUG,Syslog appender.Syslog=SyslogAppender appender.Syslog.syslogName=Padvish appender.Syslog.syslogHost=192.168.0.1 appender.Syslog.portNumber=514 appender.Syslog.facility=1 appender.Syslog.layout=PatternLayout appender.Syslog.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n
در این تنظیمات آیپی سرور syslog و پورت مربوطه (پیشفرض 514 استاندارد) جهت دریافت لاگها قابل تغییر است.
در موارد معدودی که نیاز به ارسال لاگ به صورت همزمان به چندین لاگ سرور مقصد باشد میتوان از تنظیمات به شکل زیر استفاده نمود و تعداد سرورهای جدید را معرفی نمود:
rootCategory=DEBUG,Syslog1,Syslog2 appender.Syslog1=SyslogAppender appender.Syslog1.syslogName=Padvish appender.Syslog1.syslogHost=192.168.0.1 appender.Syslog1.portNumber=514 appender.Syslog1.facility=1 appender.Syslog1.layout=PatternLayout appender.Syslog1.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n appender.Syslog2=SyslogAppender appender.Syslog2.syslogName=Padvish appender.Syslog2.syslogHost=192.168.0.2 appender.Syslog2.portNumber=514 appender.Syslog2.facility=1 appender.Syslog2.layout=PatternLayout appender.Syslog2.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n
راهنمای پیغامهای Syslog کنسول مدیریتی پادویش
همانند اکثر محصولات، پیغامهای Syslog در کنسول مدیریتی پادویش با قالبی ارسال میشوند که برای کاربران و مدیران شبکه قابل فهم باشند. جهت پردازش ماشینی لازم است این پیغامها parse شوند.
در ادامه لیست مجموعه این پیغامها به همراه نکات مربوط به آنها خواهد آمد:
انواع پیغام های سرور پادویش | نوع لاگ | |
---|---|---|
1. | [%datetime%] Malware '%malwarename%' found in client %computername% [%ip%] on path '%malwarepath%', action={Ignore/Delete/Quarantine/Disinfect/Deny}, result={Fail/Success} |
تشخیص بدافزار |
2. | [%datetime%] Device Control turned on by '%username%' on client %computername% [%ip%] user %consoleusername% |
روشن/خاموش کنترل ابزار |
3. | [%datetime%] Device Control turned off by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
4. | [%datetime%] Firewall turned on by '%username%' on client %computername% [%ip%] user %consoleusername% |
روشن/خاموش فایروال |
5. | [%datetime%] Firewall turned off by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
6. | [%datetime%] File '%filepath%' restored from quarantine by '%username%' on client %computername% [%ip%] user %consoleusername% |
بازگرداندن فایل از قرنطینه |
7. | [%datetime%] Restore of file '%filepath%' from quarantine failed by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
8. | [%datetime%] System Guard turned on by '%username%' on client %computername% [%ip%] user %consoleusername% |
روشن/خاموش محافظت مستمر |
9. | [%datetime%] System Guard turned off by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
10. | [%datetime%] Successfuly updated by '%username%' on client %computername% [%ip%] user %consoleusername% |
بروزرسانی پایگاه امضا |
11. | [%datetime%] Update by '%username%' failed on client %computername% [%ip%] user %consoleusername% |
|
12. | [%datetime%] Self Protection turned on by '%username%' on client %computername% [%ip%] user %consoleusername% |
روشن/خاموش محافظت از خود |
13. | [%datetime%] Self Protection turned off by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
14. | [%datetime%] A scan was performed on client %computername% [%ip%] by '%username%'. Result='{Finished successfully/Aborted by user/Failed}', Scanned files='%d', Threats found='%d', Start Date='%datetime%', End Date='%datetime%' |
انجام پویش |
15. | [%datetime%] {Allowed/Denied} connection on client %computername% [%ip%] user %consoleusername%. [Direction='{In/Out}', Remote Address='%ip%:%port%', Local Address=':%port%', Protocol='%d'] |
لاگ فایروال |
16. | [%datetime%] Device Connected, Vendor='%vendor%', Product='%product%', Serial='%serial%', Action='{allowed/denied/allowed read-only}', Client='%computername% [%ip%]' |
اتصال ابزار (نسخ قدیمی) |
17. | [%datetime%] Device '%type%' with ID '%serial%' connected and was '{allowed/denied/allowed read-only}' on client %computername% [%ip%], user %consoleusername% |
اتصال ابزار (نسخ جدید) |
18. | [%datetime%] IDS detected '%attackname%' on {incoming/outgoing} connection {from/to} %ip% on client %computername% [%ip%] user %consoleusername% and {allowed/denied} it |
تشخیص نفوذ |
نکات:
- در ابتدای تمامی لاگها تاریخ رخداد لاگ (مطابق تاریخ سیستم کلاینت تولید کننده رخداد) قرار میگیرد.
- عبارات درون
%%
به معنی مقدار رشتهای است که توسط سیستم جایگزین میشود. - عبارات درون
{xxx/yyy/zzz}
به معنی جایگزینی یکی از چند عبارت است. - عبارت
%d
به معنی مقدار عددی است. - عبارت
%datetime%
به معنی تاریخ به فرمت2018-01-29 13:14:15
است. - عبارت
%consoleusername%
در لاگها به معنی کاربری است که در لحظه رخداد لاگ، در کلاینت مزبور لاگین بوده است. این کاربر کنسول ویندوز محسوب میشود. - عبارت
%username%
به معنی کاربری است که عمل را انجام داده است. در مواردی که عملیات توسط سیستم یا از طریق سرور انجام شده باشد، این کاربر خالی یا خط فاصله (-) یا system درج میشود. (همه موارد به یک معنی است) - در لاگ فایروال، شماره پروتکل مربوط به شماره پروتکل پکت IP است. (6 به معنی TCP و 17 به معنی UDP و …)
قواعد پردازش لاگهای پادویش
جهت مشاهده قواعد regex یا Regular Expression و اتصال به نرمافزارهای آنالیز لاگ، این صفحه را مطالعه کنید:
راهنمای اتصال کنسول مدیریتی پادویش به نرمافزار Splunk و مشابه