 4, 3, 2, 1. Hallo, velkommen til den fineste sesjonen av The Security Devroom. Vi kommer til Peter, som skal snakke om Syslog NG. Takk. Takk. Først et par ord med meg. Jeg er fint for de som var der i min prøve. De første flere siden ser fæstig ut. Jeg er Peter Tsenig fra Hungary. Jeg er kommunistikker på Bellabyt. Syslog NG er en oppstrømende samarbeider. Jeg arbeider på å pakke og supporte Syslog NG. Først av, hva er loggen? Det er en rekording av eventer på computer. For eksempel er det en SSH-loggingsmessage under vareloggingsmessaget i en file. Du kan se her. Syslog NG er en oppstrømende samarbeider med en større fokus på høy performanser og senterologisk samarbeid. Hvorfor senterologgingen? Først av, er det fjølget. Det er en sted å se for vareloggingsmessaget innstalt av mene. Det er også en avværlighet. Så, hvis en senteroggingsmessage er ned, kan du løse de lockene i senterologisken. Og først, men ikke mindre. Det er også sikkerhet. Det første i hakinga-messaget er å remove traces av det du har gjort. Men hvis du har senterologgingen, så er alle traces forvaltet i realtime til en senterolokasjon, hvor du kan se hva som skjønner til maskenet. Det er fyre avværlighet av Syslog NG. Først av, er det samarbeid. Det kan også få prosesslåg-messaget, filte dem og i det enda større dem lokalt eller forvalt. Det første avværlighet er data-kollektjon. Det kan ikke si data eller lokalt kollektjon. Syslog NG kan samarbeide praktisk hva som data. Sysceller, appler, lockene sammen. De kan få utvarende kontextuelle data på hver side. Det kan samarbeide mesegene fra en stor variering av plattformsfiske sørger, som devlog, journal og sunscreams som flere plattformsfiske sørger. Som senterolokkollektjoner er det både legasjon og Syslog-protokolle, og kan bruke UDP, TCP, TLS, i hvert fall. Det kan også samarbeide alle data fra appler, fra 5 socketpipes, og hvis appleret er startet med Syslog NG, så kan appleret utvare. Det næste, og i min opini, det mest viktigste tol, i hvert fall i et sekuritet, er lockprosessing. Med Syslog NG kan du klassifere, normalisere og strukture log-mesegene. Jeg vil snakke om dette later. Du kan også klassifere log-mesegene, og du må ikke tenke på falsifere mesegene her, men for eksempel, i mange fall, du må analysere log-mesegene med kjøp til forklaringer. Mesegene kan også være reformatet med tempel. Når loganalysisk software har en specifisk format, eller har locket i JSON format, og så på. Du kan også anvise data med GYP, eller tilfølge fylsen, baser på meseg-kontent. Det næste rollet er filtering. Det har to mændigheder. Først er det diskardering. Det ser ut som debagelige mesegene, eller det andre er mesegrouting. Du kan sikre at mesegene har denne reis. For eksempel, du må anvise ordentligere mesegene til et simsystem. Der er mange muligheter for filtering. Det kan være baseret på meseg-kontent eller parametret. Det kan være med komparisering, viakarts, og mange fylsninger. Beste av disse kan være kombineret med bollen-opterater. I enden kan du stå mesegene lokalt, eller forfølge for mange fylsninger. Her kommer en trevlig fråga. For de som ikke ser mesegene til, jeg mener på en telefon eller så. Hvilken syslogange version er mest brukt? Har du en idé? Projekten startet lang tid siden. Red Hat har version 3.5. Det er faktisk 3.9. Hva tror du? Hvilken er det mest brukt? Hva synes du? Du er den næste. Det er version 1.6. Der er over 100.000.000 kvindelig bookreadere, og alle de run syslogange for lokale. Nå, til mer seriøs. Det er litt om mesegformatet. Hvis dere ser under vallogsmesegene, dere ser at meste av mesegene har en date, en hostname og en kvindelig tekst. Tekstet er en engelsk sentens med en variering. Det er gøy for å være rød av en humen, men hvis du har en kvindelig server med 1000 mesegene, er det svært å dele med dem. Du har ingen tid, og en kvindelig kan ikke forstå det. Det er en solusjon for dette program. Det heter Strukture Logging. I dette case har vi en name-value pass. Hvis dere kan forstå SSH-logging, kan dere beskrive iventesapplikationer. SSH er en rød og IP address. Det gøy er at SSH-logging har name-value pass fra starten. Facility, prioriti og sånne er alle sammen med name-value pass. Det er den måten på hvordan du kan bruke dem i filter eller i temperativene. Det er passere i SSH-logging, som kan forstå unstrukturent og strukturent data som kan forstå name-value pass. Vi prøver å prøve dette. Det første er at man ikke kan forstå SSH-logging. Hvis man ikke kan forstå SSH-logging, kan man se inn i en meseg. Det er bare å forstå hele SSH-logging. Men SSH-logging kan forstå JSON-meseget. Du kan bruke valget inn i JSON-meseget til å filte, for å reformere, for andre destinationer. Så data er mer valget på dette måte. CSV-partser kan forstå kolumnardata i filter. Det mest populære eksempel er SSH-logging. I denne konfigurationen kan du se kolumnummerene. Hvis du ser på bottom-afterscreenet, kan du se at username er used i en filename temperativ. Så hver user har sin egen logfile i dette stedet. Keyvalue-partser var forstået til SSH-logging. Det kan forstå eksempel som data. Det mest populære eksempel er firewall-logs. For eksempel IP-tabelser, men denne er fra Zorb, en annen firewall. Det mest interessant parten i SSH-logging er PattenDB, som kan forstå informasjoner fra unnstrukturete messager til nærvalgvalget. Det kan også tilstå statusfiltret baser på message-kontent og gjøre en message-klassifikasjon som lockcheck. Denne parten er at den tar en XML database som beskriver de logmasker. Så den kan bare beskrive de mesker som du har i beskriktionen. Først til SSH, et eksempel. Her har vi et par filer. Den første linje har en data som er direkte fra de logmasker. Det er en app, en user og en source IP. Men baser på message-kontent, kan du også tilstå det som en login og statusfiltret. Og baser på dette kan du klasse denne logmasker som en violation. Sysloganget kan begynne logmasker og gjøre en annen nærvalgvalget baser på message-kontent. Jeg har bare mennesket patternDB på den første linjen. Du kan også bruke GeoIP-parten til å tilstå geolokasjoner baser på IP addresses. For eksempel et landforskning eller langtids- og lattidsforskning. Det kan være brukt i sikkerhet til å begynne anomlninger som det ikke er en virkelig situasjon som noen lokser fra Europa og fra Australien samtidig. Du kan også bruke den til å bruke lokasjoner på appet. Lately, vi har gjort en annen parter som kan tilstå metadeter fra CSV5 til logmasker. For eksempel til å tilstå hostroll eller kontaktpersoner som kan tilstå langtids- og lattidsforskning. Det kan være logmasker og kan tilstå å bruke en mer akkurat anomlning eller dashboards. Nå skal vi snakke om konfiguringen Syslogengy. Min første advices er å ikke panikere. Jeg kan gjerne følge på at Syslogengy konfigureringen er svært. Ja, det ser svært ut først, og som i en eller annen side. Men når du tar en dippert slik, ser du at det er simpelig og logisk. Det er en pipeline modell, hvor du har flere bygningblokser som svarer, destinasjoner, filterer og så på. Og alle de kan være connectet til en pipeline med logstatement. Syslogengy konfigureringen startes med en versjon nummer som var for hvilken versjon det var skrevet. Og litt globalt. Måste kan være overridden i konfigureringen. Du kan definere sorgene, og her kan du se... Her er det en single source definition, men det kombinerer to different sources, interner, messages. Så de genererer syslogengy itself. Og system er for platform-specific log sources. Det hjelper til å hide platform-specific differences. Så du kan use the same configuration on Linux, FreeBSD, Solaris. Og du kan se log sources. Det andre er en network-source. I dette stedet UDP. Her er det et par destinasjoner. Det er typisk var log-signal. Det er en flatt file. Det andre er mer interessant. Det er en elastiksorg-signal, hvor du specifierer en indeksname, en typ av en message, en clustername. Og her kan du se at det er utgjørende i JSON-formatet og å selectere flere fylser for og for. Her kan du se nogle filter-definasjoner og løde en database for patent-db parsing. Og her er det parten av konfigureringen, logstatementen, hvor det uppe en er for var log-signal, lokale fylser og destinasjoner. Det andre er mer interessant med flere fylser, filterer patent-db, og sender resultat til elastiksorg. Og her er det en god dashboard fra Elastiksorg. Det er en World Map, hvor log-sourceret var IP-tabelset, og atek-sourceret er visualisert på screenet. Her er konfigureringen om hvordan du kan gjøre dette. Først er du nødvendig å bygge kvalitetsfiltret til å utgjørende flere fylser fra messen. I dette case er geolokasjonen løpt opp for source-IP. Kibana tar en spesifik format for denne formatet. Og her, i logstatementet, er alle disse bygningblogser kombineret. PEG er en software i svært forhold. Det var formatet Ærsa. Det er en webapplikasjon for sekuritetsanalist, og det er byggt på Syslogen G. Og parten db-messagepassing. Resultatet er sendt til Erastiksearch, og det har sin egen webinterface, det er ikke Kibana. I dette case er det noen nødvendig grafene som kommer fra en entusjon-detektørend system. I en måte er det noen nødvendig grafene fra Syslogen G 3.8. Det har spesifikasjonen, en nødvendig spesifikasjon, som er løp til å bruke. Du kan også write spesifikasjonen i Rust. Det har support for alle de fleste Erastiksearch-versjoner, og mange, mange performanser og provermer. Fannes sammen hva Syslogen G kan hjelpe med Syslogen G. Først er det en høy performans og en løplig lokkkollektjon. Du kan parten og løpe mesegene, så du kan løpe en basic loganalysis i Syslogen G, og du kan også løpe mesegene effektivt til andre loganalysiser. Hvis du vil hvide mer om Syslogen G, vår central hub av informasjonen er Syslogen G.org, eller vår sorskod er på GitHub, hvor vi også har en issue-tekking-system, og hvis du tar hjelp, har vi en mailing list, eller når vi har en realtime help har vi IRC eller Gitter-channelser. Har du noe? Takk, Peter. Vi har en plåd. Vi har fem minutter til køkken, så løpe hverandre. Vi har den første her. Hi. Hva med support for dockerkontainter eller andre? Hvis vi har logstasj eller fluent D, kan vi løpe kontainter og enriche logformat med kontainter- og relevant informasjon. Er det supportet? Ja. Vi har en docker-image, og jeg gikk den, og jeg var mye spørgsmål over det. Den developmenten av docker-image hadde bare et par hundre downloader, men den regulære image hadde over 100.000 downloader. Så de brødde den i docker. Sorry, I wasn't referring about running Syslog NG inside a container, but rather on a host or a VM, where you have Syslog NG and it has the docker-daman, or it has Rocket or whatever, and you're running, say, 10 containers, and you'd like the logs from those containers to go back to the host-based Syslog NG to enrich, to then send them on to some other location. In order to do that, it would be useful for it to get some information from, say, docker-daman, to understand the name of the container and some other attributes. As far as I don't use docker myself, but as far as I know, docker is logging in JSON format, and we can process that. I know that it's used, but personally, I don't have much experience with it. Okay, there's one more question here. Raise your hand if you want to ask a question. Hallo. My question gets more into the legal aspects, which I mentioned at the start of the talk in your brief. Are there ways which Syslog NG can support compliance to EU data protection law for not storing IP addresses or storing them in particular ways, which better support minimal standards in what should be captured and not captured? What we can do is using pattern DB or using regular expressions, you can find IP addresses or credit card numbers in log messages. Both have advantages and disadvantages, and you can either replace with a static text the IP address or you can use hashes, and if you use a hash of the original, then you can use it in further analysis of the message. So you can follow sessions, what the user did, even if you don't know the name of the user, but you can follow where it is coming from, what it did. We have one more here. It's also fine to just have a comment or reflection or criticism or discussion. So most of the new assistants are running journal D. Hva er din rekomendasjon? Hva er arbeidsplittet for journal D og Syslog NG? Journal D er for lokal log messages. Of course, you can pull log messages from it periodically, but it's still not something for central local action. With Syslog NG, you can constantly... Syslog NG can read log messages from the journal, and forward it to a central location in real time. So it's better suited for security purposes, I think. Thank you. Final question? No. OK, let's thank Peter. And thanks for coming here. This was the final presentation for the day. Thank you.