概要
セキュリティログ監視ルール[1002831 - Unix - Syslog]でsyslogの監視を行いたいのですが、イベントが全く報告されません。
ステータスの異常も認められず、顕著なエラーも出ていませんが、システムイベント「イベントの取得」の「説明」欄を確認すると、以下の警告が表示されています。
=============
レベル: 警告
イベントID: 8101
イベント: セキュリティログ監視エンジンの警告
説明: セキュリティログ監視エンジンが次の情報または警告メッセージを発行しました:
plugins/li/libOSSEC/analysisd/cleanevent.c(1275): Invalid hostname in syslog message: 'Sep 11 15:06:56 <kern.info> localhost.localdomain kernel: kernel log daemon terminating.'.
=============
この原因と対処方法を教えてください。
ステータスの異常も認められず、顕著なエラーも出ていませんが、システムイベント「イベントの取得」の「説明」欄を確認すると、以下の警告が表示されています。
=============
レベル: 警告
イベントID: 8101
イベント: セキュリティログ監視エンジンの警告
説明: セキュリティログ監視エンジンが次の情報または警告メッセージを発行しました:
plugins/li/libOSSEC/analysisd/cleanevent.c(1275): Invalid hostname in syslog message: 'Sep 11 15:06:56 <kern.info> localhost.localdomain kernel: kernel log daemon terminating.'.
=============
この原因と対処方法を教えてください。
詳細
原因
Deep Securityのセキュリティログ監視エンジンは、syslogの初期設定のフォーマットのみ分析可能であり、日付の右隣のフィールドにはホスト名が記載されている事を前提としております。
一方で、syslogへ-SSオプションを追加して起動した場合、日付とホスト名の中間に<facility.level>のフォーマットでファシリティとレベルが表記されます。
セキュリティログ監視エンジンが該当のフォーマットをホスト名のフィールドと誤認識した結果、ホスト名のフォーマットが不適切である旨の警告を報告し、適切にsyslogを監視できません。
対処方法
/etc/sysconfig/syslogファイルのSYSLOGD_OPTIONSから"-SS"を削除し、syslogdを再起動します。
運用上、syslogへ-SSオプションを追加しておく必要がある環境では、残念ながらDeep Securityによるsyslogの監視が不可能となりますので、syslogを監視するルールを割り当て解除します。
rsyslogdでは、syslogのフォーマットを任意にカスタマイズ可能です。
冒頭のフィールドをsyslogの標準フォーマットと同様にし、それ以降の任意の箇所にファシリティおよびレベルの情報を追記した場合では、正常にセキュリティログを監視できる可能性が期待できますが、トレンドマイクロでは初期設定以外のsyslogフォーマットによる動作検証等は一切行っておりませんので、カスタマイズされたsyslogフォーマットをご利用の場合、十分な検証を行った上での導入をお勧めします。
