راهنمای راه‌اندازی Syslog در کنسول مدیریتی پادویش

مقدمه

در این سند ماژول Syslog در کنسول مدیریتی پادویش و تنظیمات و امکانات موجود در آن تشریح شده است.

پس از مطالعه این سند، خواننده معماری این ماژول را درک نموده و قادر خواهد بود که کنسول مدیریتی پادویش را برای ارسال لاگ مطابق پروتکل Syslog به یک لاگ‌سرور یا سامانه SIEM و مانند آن پیکربندی کند. همچنین لیست پیغام‌های ضدویروس پادویش به همراه شیوه پردازش آنها در انتهای سند آورده شده است.

درباره پروتکل Syslog

پروتکل Syslog پروتکل ارسال و جمع‌آوری‌ لاگ‌های متنی از انواع تجهیزات مختلف در شبکه است. این لاگ‌ها می‌توانند همه نوع محتوایی از عملکرد سیستم، رخدادهای ارتباطی، وقایع امنیتی و غیره را در بر بگیرند و اصولا پیغام‌هایی متنی با اندکی فراداده ثابت (مانند تاریخ و محل و درجه اهمیت رخداد) هستند که برای هر تجهیز یا سامانه باید مطابق الگوی خاص آن پردازش شوند.

پیشفرض پروتکل Syslog ارسال پکت از نوع UDP بر روی پورت 514 است ولی انواع دیگر مبتنی بر TCP و رمزنگاری نیز دارد. در حال حاضر کنسول مدیریتی پادویش از ارسال اطلاعات مبتنی بر UDP پشتیبانی می‌کند.

از آنجاییکه هدف این پروتکل جمع‌آوری‌ کل اطلاعات در یک محل واحد و پردازش آنهاست، قبل از ادامه باید شما یک Syslog Server یا سامانه‌ای که قابلیت دریافت این پیغام‌ها را داشته باشد در شبکه خود مستقر کرده و یک IP و آدرس مشخص قابل دسترس برای آن تعیین کرده باشید.

ماژول  Syslog در کنسول مدیریتی پادویش

معماری ارتباطی

با انجام تنظیمات زیر در سرور مدیریتی پادویش، می‌توانید این لاگ‌ها را که شامل رخدادهای سیستم‌های کلاینت است را از طریق پروتکل Syslog دریافت نمایید.

مکانیزم ارسال به این شکل است که کلاینت‌های پادویش مرتبا گزارش‌ها و لاگ‌های خود را به سرور مدیریتی پادویش ارسال می‌کنند. به محض دریافت این لاگ‌ها، سرور مدیریتی لاگ را به فرمت مناسب توسط پروتکل Syslog به یک یا چند سرور ارسال می‌کند. بدین ترتیب کلاینت‌ها به صورت مستقیم با سرور Syslog در ارتباط نیستند و تنها لازم است سرور مدیریتی پادویش قادر به ارسال پکت به سمت این سرور باشد.

روش انجام تنظیمات Syslog در کنسول مدیریتی پادویش

جهت انجام تنظیمات، باید یک فایل log.cfg در مسیر اصلی نصب سرور پادویش – معمولا C:\Program Files (x86)\Amnpardaz\Server\log.cfg – ایجاد نموده و تنظیمات زیر را در آن انجام دهید:

rootCategory=DEBUG,Syslog
appender.Syslog=SyslogAppender
appender.Syslog.syslogName=Padvish
appender.Syslog.syslogHost=192.168.0.1
appender.Syslog.portNumber=514
appender.Syslog.facility=1
appender.Syslog.layout=PatternLayout
appender.Syslog.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n

در این تنظیمات آی‌پی سرور syslog و پورت مربوطه (پیشفرض 514 استاندارد) جهت دریافت لاگ‌ها قابل تغییر است.

در موارد معدودی که نیاز به ارسال لاگ به صورت همزمان به چندین لاگ سرور مقصد باشد می‌توان از تنظیمات به شکل زیر استفاده نمود و تعداد سرورهای جدید را معرفی نمود:

rootCategory=DEBUG,Syslog1,Syslog2
appender.Syslog1=SyslogAppender
appender.Syslog1.syslogName=Padvish
appender.Syslog1.syslogHost=192.168.0.1
appender.Syslog1.portNumber=514
appender.Syslog1.facility=1
appender.Syslog1.layout=PatternLayout
appender.Syslog1.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n
appender.Syslog2=SyslogAppender
appender.Syslog2.syslogName=Padvish
appender.Syslog2.syslogHost=192.168.0.2
appender.Syslog2.portNumber=514
appender.Syslog2.facility=1
appender.Syslog2.layout=PatternLayout
appender.Syslog2.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n

 

راهنمای پیغام‌های Syslog کنسول مدیریتی پادویش

همانند اکثر محصولات، پیغام‌های Syslog در کنسول مدیریتی پادویش با قالبی ارسال می‌شوند که برای کاربران و مدیران شبکه قابل فهم باشند. جهت پردازش ماشینی لازم است این پیغام‌ها parse شوند.

در ادامه لیست مجموعه این پیغام‌ها به همراه نکات مربوط به آنها خواهد آمد:

  انواع پیغام های سرور پادویش نوع لاگ
1. [%datetime%] Malware '%malwarename%' found in client %computername% [%ip%] on path '%malwarepath%', action={Ignore/Delete/Quarantine/Disinfect/Deny}, result={Fail/Success} تشخیص بدافزار
2. [%datetime%] Device Control turned on by '%username%' on client %computername% [%ip%] user %consoleusername% روشن/خاموش کنترل ابزار
3. [%datetime%] Device Control turned off by '%username%' on client %computername% [%ip%] user %consoleusername%
4. [%datetime%] Firewall turned on by '%username%' on client %computername% [%ip%] user %consoleusername% روشن/خاموش فایروال
5. [%datetime%] Firewall turned off by '%username%' on client %computername% [%ip%] user %consoleusername%
6. [%datetime%] File '%filepath%' restored from quarantine by '%username%' on client %computername% [%ip%] user %consoleusername% بازگرداندن فایل از قرنطینه
7. [%datetime%] Restore of file '%filepath%' from quarantine failed by '%username%' on client %computername% [%ip%] user %consoleusername%
8. [%datetime%] System Guard turned on by '%username%' on client %computername% [%ip%] user %consoleusername% روشن/خاموش محافظت مستمر
9. [%datetime%] System Guard turned off by '%username%' on client %computername% [%ip%] user %consoleusername%
10. [%datetime%] Successfuly updated by '%username%' on client %computername% [%ip%] user %consoleusername% بروزرسانی پایگاه امضا
11. [%datetime%] Update by '%username%' failed on client %computername% [%ip%] user %consoleusername%
12. [%datetime%] Self Protection turned on by '%username%' on client %computername% [%ip%] user %consoleusername% روشن/خاموش محافظت از خود
13. [%datetime%] Self Protection turned off by '%username%' on client %computername% [%ip%] user %consoleusername%
14. [%datetime%] A scan was performed on client %computername% [%ip%] by '%username%'. Result='{Finished successfully/Aborted by user/Failed}', Scanned files='%d', Threats found='%d', Start Datetime='%datetime%', End Datetime='%datetime%' انجام پویش
15. [%datetime%] {Allowed/Denied} connection on client %computername% [%ip%] user %consoleusername%. [Direction='{In/Out}', Remote Address='%ip%:%port%', Local Address=':%port%', Protocol='%d'] لاگ فایروال
16. [%datetime%] Device Connected, Vendor='%vendor%', Product='%product%', Serial='%serial%', Action='{allowed/denied/allowed read-only}', Client='%computername% [%ip%]' اتصال ابزار
(نسخ قدیمی)
17. [%datetime%] Device '%type%' with ID '%serial%' connected and was '{allowed/denied/allowed read-only}' on client %computername% [%ip%], user %consoleusername%

اتصال ابزار

(نسخ جدید)

18. [%datetime%] IDS detected '%attackname%' on {incoming/outgoing} connection {from/to} %ip% on client %computername% [%ip%] user %consoleusername% and {allowed/denied} it تشخیص نفوذ

نکات:

  1. در ابتدای تمامی لاگها تاریخ رخداد لاگ (مطابق تاریخ سیستم کلاینت تولید کننده رخداد) قرار می‌گیرد.
  2. عبارات درون %% به معنی مقدار رشته‌ای است که توسط سیستم جایگزین می‌شود.
  3. عبارات درون {xxx/yyy/zzz} به معنی جایگزینی یکی از چند عبارت است.
  4. عبارت %d به معنی مقدار عددی است.
  5. عبارت %datetime% به معنی تاریخ به فرمت 2018-01-29 13:14:15 است.
  6. عبارت %consoleusername% در لاگها به معنی کاربری است که در لحظه رخداد لاگ، در کلاینت مزبور لاگین بوده است. این کاربر کنسول ویندوز محسوب می‌شود.
  7. عبارت %username% به معنی کاربری است که عمل را انجام داده است. در مواردی که عملیات توسط سیستم یا از طریق سرور انجام شده باشد، این کاربر خالی یا خط فاصله (-) یا system درج می‌شود. (همه موارد به یک معنی است)
  8. در لاگ فایروال، شماره پروتکل مربوط به شماره پروتکل پکت IP است. (6 به معنی TCP و 17 به معنی UDP و …)