NK
Всем привет. Кто подскажет, умеет ли maxpatrol нормально парсить syslog с VMware (VCSA ESX) ? Есть утверждение что нормально работает только с API. Какой то странный/галимый SIEM получается который не может syslog распарсить
Size: a a a
2020 January 22
M
можно всегда ручками формулы написать
NK
можно всегда ручками формулы написать
ну можно и другой SIEM купить
Z
ну можно и другой SIEM купить
не поспоришь))))
NA
И узнать, что он тоже галимый ибо не умеет сам парсить syslog... Скажем от МайРашенМегоФайрволл 5000.
МЖ
у ESXi такой набор треша по сислогу валится, что парсить его даже начинать не хочется
m
Всем привет. Кто подскажет, умеет ли maxpatrol нормально парсить syslog с VMware (VCSA ESX) ? Есть утверждение что нормально работает только с API. Какой то странный/галимый SIEM получается который не может syslog распарсить
ESXi - вполне нормализуется, но см. комментарий от Макса, с которым я полностью солидарен
с VCSA проще забрать вменяемый лог событий через API. Он должен нормализоваться.
с VCSA проще забрать вменяемый лог событий через API. Он должен нормализоваться.
RS
Коллеги, вопрос
Хотим собирать логи с нескольких ДНС-серверов на одном файловом сервере (он не ДНС).
Возник вопрос - он сможет корректно подставлять адрес источника, что бы можно было разобрать, какое событие с какого сервера? Есть опасение, что для всех логов будет один источник - файловый сервер
Хотим собирать логи с нескольких ДНС-серверов на одном файловом сервере (он не ДНС).
Возник вопрос - он сможет корректно подставлять адрес источника, что бы можно было разобрать, какое событие с какого сервера? Есть опасение, что для всех логов будет один источник - файловый сервер
Ну чудес же не бывает. Если в логах нет идентификатора сервера, то откуда его взять?
Для какой практической задачи вам нужна идентификация сервера, кстати?
Для какой практической задачи вам нужна идентификация сервера, кстати?
m
Коллеги, вопрос
Хотим собирать логи с нескольких ДНС-серверов на одном файловом сервере (он не ДНС).
Возник вопрос - он сможет корректно подставлять адрес источника, что бы можно было разобрать, какое событие с какого сервера? Есть опасение, что для всех логов будет один источник - файловый сервер
Хотим собирать логи с нескольких ДНС-серверов на одном файловом сервере (он не ДНС).
Возник вопрос - он сможет корректно подставлять адрес источника, что бы можно было разобрать, какое событие с какого сервера? Есть опасение, что для всех логов будет один источник - файловый сервер
А откуда ему брать адрес источника если в самих событиях его нет?
Z
Коллеги, вопрос
Хотим собирать логи с нескольких ДНС-серверов на одном файловом сервере (он не ДНС).
Возник вопрос - он сможет корректно подставлять адрес источника, что бы можно было разобрать, какое событие с какого сервера? Есть опасение, что для всех логов будет один источник - файловый сервер
Хотим собирать логи с нескольких ДНС-серверов на одном файловом сервере (он не ДНС).
Возник вопрос - он сможет корректно подставлять адрес источника, что бы можно было разобрать, какое событие с какого сервера? Есть опасение, что для всех логов будет один источник - файловый сервер
нет
m
нет
Краткость - сестра нашего брата (с) :)
Z
сырое посмтрел)
v
нет
браво))))
v
да, спасибо! я уже сам смоделировал ситуацию и посмотрел логи ДНС
Z
"1/22/2020 2:36:44 PM 0D14 PACKET 0000000006DA3280 UDP Rcv 10.73.47.34 2b56 Q [0001 D NOERROR] A (2)mc(6)yandex(2)ru(0)"
v
возможен только геморный вариант - расширить детализацию логов, там есть поле с ДНС сервером, но тогда нужно кучу новых правил писать
Z
вот сырое
v
1/22/2020 12:04:28 PM 082C PACKET 000001DBF8E199A0 UDP Snd 10.170.0.63 e390 R Q [8085 A DR NOERROR] SRV (9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)
UDP response info at 000001DBF8E199A0
Socket = 664
Remote addr 10.170.0.63, port 53499
Time Query=3017069, Queued=0, Expire=0
Buf length = 0x0200 (512)
Msg length = 0x0064 (100)
Message:
XID 0xe390
Flags 0x8580
QR 1 (RESPONSE)
OPCODE 0 (QUERY)
AA 1
TC 0
RD 1
RA 1
Z 0
CD 0
AD 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 1
NSCOUNT 0
ARCOUNT 1
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)"
QTYPE SRV (33)
QCLASS 1
ANSWER SECTION:
Offset = 0x0034, RR count = 0
Name "[C00C](9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)"
TYPE SRV (33)
CLASS 1
TTL 600
DLEN 20
DATA Priority = 0
Weight = 100
Port = 88
Target host (2)DC(4)crvt(4)info(0)
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
Offset = 0x0054, RR count = 0
Name "[C046](2)DC(4)crvt(4)info(0)"
TYPE A (1)
CLASS 1
TTL 3600
DLEN 4
DATA 10.170.0.53
UDP response info at 000001DBF8E199A0
Socket = 664
Remote addr 10.170.0.63, port 53499
Time Query=3017069, Queued=0, Expire=0
Buf length = 0x0200 (512)
Msg length = 0x0064 (100)
Message:
XID 0xe390
Flags 0x8580
QR 1 (RESPONSE)
OPCODE 0 (QUERY)
AA 1
TC 0
RD 1
RA 1
Z 0
CD 0
AD 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 1
NSCOUNT 0
ARCOUNT 1
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)"
QTYPE SRV (33)
QCLASS 1
ANSWER SECTION:
Offset = 0x0034, RR count = 0
Name "[C00C](9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)"
TYPE SRV (33)
CLASS 1
TTL 600
DLEN 20
DATA Priority = 0
Weight = 100
Port = 88
Target host (2)DC(4)crvt(4)info(0)
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
Offset = 0x0054, RR count = 0
Name "[C046](2)DC(4)crvt(4)info(0)"
TYPE A (1)
CLASS 1
TTL 3600
DLEN 4
DATA 10.170.0.53
v
1/22/2020 12:04:28 PM 082C PACKET 000001DBF8E199A0 UDP Snd 10.170.0.63 e390 R Q [8085 A DR NOERROR] SRV (9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)
UDP response info at 000001DBF8E199A0
Socket = 664
Remote addr 10.170.0.63, port 53499
Time Query=3017069, Queued=0, Expire=0
Buf length = 0x0200 (512)
Msg length = 0x0064 (100)
Message:
XID 0xe390
Flags 0x8580
QR 1 (RESPONSE)
OPCODE 0 (QUERY)
AA 1
TC 0
RD 1
RA 1
Z 0
CD 0
AD 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 1
NSCOUNT 0
ARCOUNT 1
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)"
QTYPE SRV (33)
QCLASS 1
ANSWER SECTION:
Offset = 0x0034, RR count = 0
Name "[C00C](9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)"
TYPE SRV (33)
CLASS 1
TTL 600
DLEN 20
DATA Priority = 0
Weight = 100
Port = 88
Target host (2)DC(4)crvt(4)info(0)
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
Offset = 0x0054, RR count = 0
Name "[C046](2)DC(4)crvt(4)info(0)"
TYPE A (1)
CLASS 1
TTL 3600
DLEN 4
DATA 10.170.0.53
UDP response info at 000001DBF8E199A0
Socket = 664
Remote addr 10.170.0.63, port 53499
Time Query=3017069, Queued=0, Expire=0
Buf length = 0x0200 (512)
Msg length = 0x0064 (100)
Message:
XID 0xe390
Flags 0x8580
QR 1 (RESPONSE)
OPCODE 0 (QUERY)
AA 1
TC 0
RD 1
RA 1
Z 0
CD 0
AD 0
RCODE 0 (NOERROR)
QCOUNT 1
ACOUNT 1
NSCOUNT 0
ARCOUNT 1
QUESTION SECTION:
Offset = 0x000c, RR count = 0
Name "(9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)"
QTYPE SRV (33)
QCLASS 1
ANSWER SECTION:
Offset = 0x0034, RR count = 0
Name "[C00C](9)_kerberos(4)_tcp(2)dc(6)_msdcs(4)CRVT(4)INFO(0)"
TYPE SRV (33)
CLASS 1
TTL 600
DLEN 20
DATA Priority = 0
Weight = 100
Port = 88
Target host (2)DC(4)crvt(4)info(0)
AUTHORITY SECTION:
empty
ADDITIONAL SECTION:
Offset = 0x0054, RR count = 0
Name "[C046](2)DC(4)crvt(4)info(0)"
TYPE A (1)
CLASS 1
TTL 3600
DLEN 4
DATA 10.170.0.53
вот сырое, на самой последней строчке - адрес ДНС)
Z
вот сырое, на самой последней строчке - адрес ДНС)
это что за источник?