Log Server Centralizzato

Transcript

1 Log Server Centralizzato CCR Paestum - 11 Giugno 2003 Sandro.Angius@lnf.infn.it - Claudio.Soprano@lnf.infn.it

2 Server, Farm, Apparati di Rete: tutti generano log sul loro funzionamento! CCR Log Server Centralizzato - 11 Giugno

3 Come vengono prodotti i log? I sistemi unix usano il demone standard syslogd (rfc3164) per definire cosa e dove inviare i messaggi generati dai servizi e dalle applicazioni La maggior parte degli apparati di rete e capace di inviare i propri messaggi di diagnostica tramite il protocollo syslog Non tutte le applicazioni pero supportano l invio dei messaggi via syslog Generalmente i log risiedono sul sistema che li genera! CCR Log Server Centralizzato - 11 Giugno

4 Log NON centralizzati significa: Definire su ogni sistema le politiche per la gestione dei log Cosa, Come, Dove e per quanto tempo mantenere i log Dover accedere sul sistema interessato per analizzare i log Nel caso di servizi ridondati (es: http, proxy, smtp, etc.) occorre verificare i log su tutti i server che offrono lo stesso servizio Maggiore difficolta nell analisi, report e archiviazione Possibili DOS che puntano al blocco di un servizio per esaurimento dello spazio disco (se i log sono sul disco sistema ) I log sono modificabili da eventuali intrusi Ogni cambio di politica comporta dover riconfigurare tutti i sistemi! CCR Log Server Centralizzato - 11 Giugno

5 Come centralizzare? CCR Log Server Centralizzato - 11 Giugno

6 Un primo passo: syslog su sistema dedicato 514/UDP Syslogd syslog.conf # syslog.conf dei client # Estratto da un possibile syslog.conf # per un syslogd server centrale authpriv.* mail.* cron.* uucp,news.crit local7.* local6.* local5.* /var/log/secure /var/log/maillog /var/log/cron /var/log/spooler /var/log/boot.log /var/log/myapps.log /var/log/others.log.. omissis.. CCR Log Server Centralizzato - 11 Giugno

7 Syslog: Formato Messaggi (RFC3164) Syslog Packet (massimo 1024 bytes) Priority (3..5 bytes) Header Message Timestamp Hostname Tag Content Priority = 8 * Facility + Severity Header Timestamp: Data e Ora del messaggio Hostname: Nome dell host origine del messaggio Message Tag: Programma origine del messaggio Content: Messaggio informativo CCR Log Server Centralizzato - 11 Giugno

8 /etc/syslog.conf standard # Configuration file example for syslogd # Store critical stuff in critical *.=crit;kern.none /var/adm/critical # Kernel messages are first, stored in the kernel file, # critical messages and higher ones also go to another # host and to the console # kern.* /var/adm/kernel kern.crit /dev/console kern.info;kern.!err /var/adm/krninfo # The tcp wrapper loggs with mail.info, we display # all the connections on tty12 # mail.=info /dev/tty12 # Store all mail concerning stuff in a file # mail.*;mail.!=info /var/adm/mail # Log all mail.info and news.info messages to info # mail,news.=info/var/adm/info # Log info and notice messages to messages file # *.=info;*.=notice;\ mail.none /var/log/messages # Log info messages to messages file # *.=info;\ mail,news.none /var/log/messages # Emergency messages will be displayed using wall # *.=emerg * # Messages of the priority alert will be directed # to the operator # *.alert root,joey CCR Log Server Centralizzato - 11 Giugno

9 Syslog standard: le limitazioni Un solo net source (udp/514) oltre al /dev/log Alcune implementazioni prevedono l uso di socket aggiuntive Destinazioni limitate solo 20 facilities di cui solo 8 non riservate kern, user, mail, daemon, auth, authpriv, syslog, lpr, news, uucp, cron, ftp General Purpose: local0 local7 8 severities emerg, alert, crit, err, warning, notice, info, debug Alcune implementazioni prevedono l invio ad una pipe/fifo Nessuna possibilita di filtrare/catalogare i log in base al contenuto CCR Log Server Centralizzato - 11 Giugno

10 Un possibile passo successivo: uso di un parser per i log 514/UDP Syslogd syslogd.conf Log Parser CCR Log Server Centralizzato - 11 Giugno

11 Oppure: Syslog Next Generation 514/UDP TCP/UDP Ports Pipe / FIFO Syslogd Next Generation Internal syslog-ng.conf TCP UDP Pipe FIFO CCR Log Server Centralizzato - 11 Giugno

12 Syslog NG Compatibile con il protocollo di syslogd Sources : udp/514, fifo/pipe, file, tcp/udp, internal, unix-stream/dgram, sun-stream Possibili output: file, fifo/pipe, tcp/udp, program, usertty, unix-stream/dgram CCR Log Server Centralizzato - 11 Giugno

13 Syslog NG: Filtri Priority (3..5 bytes) Syslog Packet (massimo 1024 bytes) Header Message Timestamp Hostname Tag Content Per facility(faciliy[,facility]) e level(pri[,pri1..pri2[,pri3]]) Per nodo: host(regexp) Per applicativo: program(regexp) Per contenuto: match(regexp) CCR Log Server Centralizzato - 11 Giugno

14 Syslog NG: Message Paths Opzioni Generali Opzioni source Opzioni filter Opz. destination Source Source Source Source F i l t e r F i l t e r F i l t e r F i l t e r F i l t e r Destination Destination Destination Destination Destination Destination Destination M e s s a g e P a t h s In Syslog NG si definiscono, tramite le statement log, dei Message paths, costituiti da: uno o piu sorgenti (statement source) una o piu regole di filtro (statement filter) una o piu destinazioni (statement destination) CCR Log Server Centralizzato - 11 Giugno

15 Syslog NG: Sintassi 5 gli statement utilizzati per la configurazione: source, filter, destination, log, options source <identifier> { source-driver(params); source-driver(params);... }; filter <identifier> { expression; }; destination <identifier> { destination-driver(params); destination-driver(params);... }; log { source(s1); source(s2);... filter(f1); filter(f2); destination(d1); destination(d2);... flags(flag1[, flag2...]); }; options { option1(params); option2(params);... }; CCR Log Server Centralizzato - 11 Giugno

16 Syslog NG: Macro e Opzioni L output su file permette di usare una serie di macro che facilitano la catalogazione Macro (output su file): DATE, DAY, FACILITY, FULLDATE, FULLHOST, HOST, HOUR,ISODATE, MIN, MONTH, MSG or MESSAGE, PRIORITY or LEVEL, PROGRAM, SEC, TAG, TZ, TZOFFSET, WEEKDAY, YEAR Opzioni (output su file): create_dirs, dir_perm, global, fsync, group, log_fifo_size, owner, perm, remove_if_older num, sync_freq, template, template_escape CCR Log Server Centralizzato - 11 Giugno

17 Syslog NG: un mini esempio (1/4) options { create_dirs (no); dir_perm(0755); dns_cache(yes); use_dns(yes); log_fifo_size(2048); log_msg_size(8192); long_hostnames(on); use_fqdn(yes); perm(0644); sync(0); time_reopen (10); }; source src { unix-stream("/dev/log"); internal(); pipe("/proc/kmsg"); }; source net { udp(); }; source special {tcp(ip( ) port(4800) keep-alive(yes)); }; CCR Log Server Centralizzato - 11 Giugno

18 Syslog NG: un mini esempio (2/4) destination console { usertty("root"); }; destination smtprelay { file("/var/log/mailing/smtprelay.log"); }; destination smtpclient { file("/var/log/mailing/smtpclient.log"); }; destination imap { file("/var/log/mailing/imap.log"); }; destination l_messages { file("/var/log/logsrv/messages.log"); }; destination example { file( /var/log/example/$host/$year/$month/$day/$facility.log owner(root) group(root) perm(0600) create_dirs(yes) dir_perm(0700)); }; destination sms { program("/usr/custom/bin/sendsms +393xxxzzzyyyy ); }; destination swatch { program("/usr/bin/swatch --read-pipe=\"cat /dev/fd/0\"");}; destination other { udp( port(514)); }; destination network { file("/var/log/net/$host/gen.log" create_dirs(yes)); }; destination _notmatched_ { file("/var/log/notmatched.log"); }; CCR Log Server Centralizzato - 11 Giugno

19 Syslog NG: un mini esempio (3/4) filter f_mail { facility(mail); }; filter f_smtprelay { host("smtp1") or host( smtp2"); }; filter f_smtpclient { host( imap1") or host( wmail") or host( serv3"); }; filter f_sendmail { program("sendmail"); }; filter f_imap { program("imapd"); }; filter f_network }; { host("swcalc1") or host("swcalc2") or host("swcalcfarm1") or host("swaeta") or host("swaetb"); or etc etc filter f_diskmsg { match( disk fault on ); }; CCR Log Server Centralizzato - 11 Giugno

20 Syslog NG: un mini esempio (4/4) log { source(src); filter(f_emergency); destination(console); }; log { source(src); destination(l_messages);flags(final);}; log { source(net); filter(f_network); destination(network); flags(final);}; log { source(net); filter(f_diskmsg); destination(sms);}; log { source(net); filter(f_smtpclient); filter(f_imap); destination(imap); flags(final);}; log { source(net); filter(f_smtpclient); filter(f_sendmail); destination(smtpclient);flags(final);}; log { source(net); filter(f_smtprelay); filter(f_sendmail); destination(smtprelay); flags(final);}; log { source(net); destination(example); flags(final);}; log { source(net); destination(_notmatched_); }; CCR Log Server Centralizzato - 11 Giugno

21 Come inviare i log? Non tutte le applicazioni hanno la possibilita di ridirigere i loro log verso un server tipo syslog! Ma tutti scrivono dei file o possono indirizzare delle pipe/fifo Si puo usare il comando logger per inviare i messaggi verso syslog: tail -f /var/log/squidaccess.log --lines=0 --follow=name logger -p local6.info -t squid Oppure /usr/bin/logger -p local6.info -t myappl i se l applicazione puo scrivere direttamente su pipe/fifo CCR Log Server Centralizzato - 11 Giugno

22 Generare log da applicazioni C #include <syslog.h> char *ident = "MyApplication"; int syslogopt = LOG_PID; int facility = LOG_USER; openlog(ident, syslogopt, facility); char *sysmsg = "Info via syslog"; int priority = LOG_ERR LOG_USER; syslog(priority, sysmsg); closelog(); CCR Log Server Centralizzato - 11 Giugno

23 Generare log da applicazioni Perl use Sys::Syslog; $ident = MyApplication ; openlog($ident, pid, user ); syslog( mail warning, this is a test: %d, time); closelog(); CCR Log Server Centralizzato - 11 Giugno

24 Dai log ai DB via SQL Syslog NG permette di scrivere i logs su Server SQL usando delle destination di tipo pipe/fifo e dei templates (versione 1.5 e successive) Server SQL gia implementati tramite template creati da utenti: Mysql Oracle PostgreSQL CCR Log Server Centralizzato - 11 Giugno

25 Da Syslog NG a MySql Server(1/2) Da una tabella: CREATE DATABASE syslog; USE syslog; CREATE TABLE logs ( host varchar(32) default NULL, facility varchar(10) default NULL, priority varchar(10) default NULL, level varchar(10) default NULL, tag varchar(10) default NULL, date date default NULL, time time default NULL, program varchar(15) default NULL, msg text, seq int(10) unsigned NOT NULL auto_increment, PRIMARY KEY (seq), KEY host (host), KEY seq (seq), KEY program (program), KEY time (time), KEY date (date), KEY priority (priority), KEY facility (facility) ) TYPE=MyISAM; E per tramite di una pipe: mkfifo /tmp/mysql.pipe mysql -u theuserid --password=thepassword syslogdb < /tmp/mysql.pipe CCR Log Server Centralizzato - 11 Giugno

26 Da Syslog NG a MySql Server(2/2) Puo essere usata la seguente destination pipe: destination d_mysql { pipe("/tmp/mysql.pipe" template("insert INTO logs (host, facility, priority, level, tag, date, time, program, msg) VALUES( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY', '$HOUR:$MIN:$SEC', '$PROGRAM', '$MSG' );\n") }; ); template-escape(yes) CCR Log Server Centralizzato - 11 Giugno

27 Da Syslog NG a Oracle Server destination d_oracle { pipe("/dev/ora.pipe" template("insert INTO logs (LL_HOST, LL_facility, LL_priority, LL_level, LL_tag, LL_DATE, LL_program, LL_msg) VALUES ( '$HOST', '$FACILILITY', '$PRIORITY', '$LEVEL', '$TAG', to_date('$year.$month.$day $HOUR:$MIN:$SEC', 'yyyy.mm.dd hh24:mi:ss'), '$PROGRAM', substr('$msg',1,511)); \n COMMIT;\n") }; ); template-escape(yes) Per lo script di comunicazione con Oracle: CCR Log Server Centralizzato - 11 Giugno

28 Da Syslog NG a PostgreSQL destination d_postgres { file("/spool/syslog2pgsql/log.$year.$month.$day.$hour.$min.$sec" template("insert INTO msg_table VALUES $ '$R_ISODATE', '$S_ISODATE', '$HOST', '$FACILITY', '$PRIORITY', '$MSG'$\;\n") template_escape(yes) }; ); owner(postgres) Per lo script di comunicazione con PostgreSQL: CCR Log Server Centralizzato - 11 Giugno

29 Considerazioni Il log server centrale DEVE essere molto sicuro! Attenzione all uso della macro $PROGRAM Puo essere usata per produrre un DOS! L uso corretto delle macro puo rendere superfluo il logrotate dei file Considerare l uso di tcp invece di udp per i messaggi di log che non devono essere assolutamente persi Rendere poco visibile il log server centrale Mantenere i log (anche) in locale! CCR Log Server Centralizzato - 11 Giugno

30 Log Server: quanto chiuso? Sources SyslogNG (Archive) SyslogNG (Monitor) TTY SSH Sistema sicuro == Sistema spento e scollegato dalla rete! Occorre un compromesso, ad esempio: Adeguata protezione dei server Sources Creazione di un log server (Archive) accessibile solo da console e che preveda la scrittura dei log su supporti WORM. Log server in cascata (Monitor) per la normale attivita di controllo CCR Log Server Centralizzato - 11 Giugno

31 Riferimenti Versione attuale: 1.6.0rc3 RFC Mailing list: FAQ: CCR Log Server Centralizzato - 11 Giugno

32 Domande? - Claudio.Soprano@lnf.infn.it