標準のUDPポート514を使用してインターネット経由でSyslog / SNMP情報を送信する

Question

Windowsの監視を検討しています [〜＃〜] vps [〜＃〜] Syslog メッセージを Synology NAS に送信して、電子メールアラートなどを生成できます。 [〜＃〜] snmp [〜＃〜] を使用してヘルス統計を生成し、経時的な傾向を確認したいと思います。侵入検知とヘルスモニタリングを提供することになっています。

多くの Syslog Windowsエージェントを評価した後、HTTPS経由でTCPをサポートする（Synologyサーバーはそれをサポートします）をサポートする単一のフリーウェアエージェントをまだ見つけていません。ほとんどすべてがUDPポート514にハードコードされています（まあ、一部のポートを変更できますが、それは役に立たないと思います）。

変換されたWindowsイベントログメッセージを送信するつもりなので、暗号化せずに送信するのは快適ではありません（完全なスタックトレースなどを含めることができます）。

リスクを制限する方法を調べましたが、Syslogメッセージの送信を自分のIPアドレスに制限するようにファイアウォールを設定することだけがわかります。 SNMPの場合、ファイアウォールはクライアントからの要求のみを受け入れるように制限できます。代替案は一部のハックを使用した市販の製品です（これは私が実際にやりがいを感じているわけではありません）。

奇妙なのは、UDP 514が標準であり、SNMPのように this thread で回答を見ることが推奨されているように見えることです。

注意しすぎですか？世界の他の地域ではUDPに問題はないようですか？ VPSサーバーのホスティングプロバイダーは、内部（仮想）ネットワーク上のソフトウェアをスニッフィングできませんか？それとも、結局のところUDPを使用しても安全ですか？

Mike Mackintosh · Answer

いくつかのオプションがあります。

最初に頭に浮かぶのは、WindowsサーバーからSyslogサーバーへのSSHトンネルを作成し、syslogをlocalhost：1514に送信して、logserver：514にトンネルすることです。これにより、SSHトンネルでSyslogデータが暗号化されます。これは、起動時にバッチスクリプトを使用してPuTTYを呼び出すなど、いくつかの方法で実行できます http://howto.ccs.neu.edu/howto/windows/ssh-port-tunneling-with-PuTTY/
次に、これは私がやっていることです Logstash のようなツールを使用して、syslogを受信し、ログファイルをローカルで読み取り、 [〜＃〜] https [〜＃〜 ] 。 LogstashはJavaランタイムを必要としますが、非常に強力で、リソースをほとんど使用せず、非常にカスタマイズ可能です。
TCP 514以上）を実行するSyslog-ngプロフェッショナルに支払い、TLS/SSLを適用できます。

void_in · Answer

[〜＃〜] ossec [〜＃〜] エージェントを使用できます。これは、ログファイルを監視できるだけでなく、他の攻撃を検出するための広範なルールリストを持つオープンソースのホストベースの侵入検知エージェントです。ポートスキャンや偵察など。ネットワーク上のOSSECエージェント用に別のサーバーを構成してから、OSSECサーバーからsyslogサーバーにアラートを転送する必要があります。 OSSECが blowfish 暗号化アルゴリズムを使用してすべてのトラフィックを暗号化し、OSSECサーバーがトラフィックをsyslogサーバーに転送する前に、まずトラフィックを復号化する必要があるためです。アクティブなメーリングリストをサポートするオープンソースソリューションを使用して、すべてのトラフィックをVPSからネットワークに安全に転送できます。