Сбор событий Linux: есть цель – ищем путь

Приветствую всех, кто заглянул на огонек! Меня зовут Роман, и я занимаюсь исследованием безопасности Linux (и всякого другого, связанного с ним) в экспертном центре безопасности в Positive Technologies. Мне периодически приходится сталкиваться с вопросами клиентов или коллег из смежных отделов по поводу оптимизации работы различных компонентов журналирования внутри Linux. Поэтому в какой-то момент возникла идея обрисовать как минимум для самого себя целостную картину их взаимодействия и влияния друг на друга. Результатом работы стала довольно компактная схема, которая помогает оперативнее и эффективнее отвечать на возникающие вопросы для решения проблем. В статье я постараюсь вкратце описать каждый ее блок. Не ручаюсь за то, что будут затронуты все тонкости, известные лишь узкому кругу специалистов. Но на большую часть вопросов я отвечу.

https://habr.com/ru/companies/pt/articles/925894/

#linux #siem #auditd #syslog #journald #администрирование_linuxсистем

@HeatSinkAmbassador @halva @ubuntu @opensuse Then why did #Linux standard on SystemD?

• Certainly @linuxfoundation or whoever writes the #LSB took their time re: that change and if you have ever habe to deal with huge amounts of servers, the whole benefits of the "#SystemD suite" really works well, because noone wants to deal with a shitton of filters & #syslog over journalctl -xe …

Don't get me wrong, @OS1337 runs off a single /etc/init file..., but for an embedded distro of it's tinyness, that is acceptable.

New post ✍🏻
Syslog even as an older technology is still required. For machines or appliances that can't (or I don't want to) install XDR this variant of monitoring is one of fewer ones left.
https://www.mitim.net/2025/05/useful-virtual-machine-for-cyber-security-syslog?g=5
#Syslog #Virtualization #VirtualMachine #CyberSecurity #Docker #MikroTik #Proxmox #Debian

#BSI WID-SEC-2025-0962: [NEU] [mittel] #Syslog-ng: Schwachstelle ermöglicht Umgehung von Sicherheitsmechanismen

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Syslog-ng ausnutzen, um Sicherheitsmechanismen zu umgehen.

https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0962

The @FreeBSDFoundation 15 release schedule was just announced, but I already see people saying that "looks good, I already use it in production" :-) So, I installed the latest snapshot in a VM, and tested #syslog_ng on it.

As expected: syslog-ng works fine on it :-)

#FreeBSD #syslog

I'm really surprised that log/syslog, the official go library implementing syslog, is:

1. Using the old RFC 3164 instead of the newer RFC 5424. I understand the need to support legacy stuff, but having a recent language support legacy as only option is surprising.

2. Not even fully compliant with RFC 3164, as stated by this issue. This sucks because stuff like @grafana Alloy isn't parsing it.

#go #golang #syslog #rfc

把 rsyslog 訊息串到 Slack 與 Pushover 上

把之前想弄的東西弄出來了，直接在 rsyslog 上設定條件，然後串到 Slack 以及 Pushover 上。 rsyslog 這邊有不少眉眉角角要處理，本來查到 omhttp，想直接透過 omhttp 打到 HTTPS endpoint，但發現 omhttp 沒有也沒打算包進標準套件裡面 (因為不是由官方開發的)，但文件上面有... 在 2018 年的「rsyslogd: could not load module 'omhttp' #3302」這邊就有提到這個問題了： Sadly, the omhttp module is currently not part of the def…

https://blog.gslin.org/archives/2025/03/20/12312/%e6%8a%8a-rsyslog-%e8%a8%8a%e6%81%af%e4%b8%b2%e5%88%b0-slack-%e8%88%87-pushover-%e4%b8%8a/

#api #apparmor #curl #omhttp #omprog #pushover #rsyslog #rsyslogd #script #shell #slack #syslog #webhook

howard's being brilliant again and there's a new release of a great #macOS tool for #logs called #LogUI.

> Although my log browser Ulbow gives much better access, for many it’s still a daunting task. I’ve now switched almost entirely to using my new lightweight log browser, LogUI, and here explain how you can use it. Although it’s currently an early release with limited features, you should find it ideal for getting started.

\o/
#householdIT #syslog #infosec https://eclecticlight.co/2025/03/14/browse-your-macs-log-with-logui/

Fresh from the oven, the BSD syslogd for Linux project, sysklogd v2.7.1

https://github.com/troglobit/sysklogd/releases/tag/v2.7.1

#syslog #OpenSource #linux #logging

🚀 SecPoint® Penetrator – Streamline Your Security with Syslog Integration!

💻 Check out our video showcasing Syslog integration in action!
🎥 https://www.youtube.com/watch?v=4n6dXX4OCkY

💬 Stay Connected:
🔹 Twitter (X): https://x.com/secpoint
🔹 LinkedIn: https://www.linkedin.com/company/secpoint

#CyberSecurity #Syslog #VulnerabilityScanning #SecPoint #Penetrator #NetworkSecurity #Infosec #EthicalHacking 🚀

[Перевод] Логирование на Mac и команда log: руководство для администраторов Apple

Логирование на Mac и команда log: руководство для администраторов Apple Как администратор IT-инфраструктуры, вы наверняка не раз сталкивались с необходимостью проверять логи для диагностики проблем. Логи — это своего рода "история" системы, которая помогает не только устранять неполадки, но и понимать, почему система ведет себя тем или иным образом.

https://habr.com/ru/companies/ringo_mdm/articles/883500/

#логирование #macos #apple #журналирование #логи #администрирование_apple #администрирование_mac_os #logging #syslog

#BSI WID-SEC-2025-0310: [NEU] [mittel] #SolarWinds #Kiwi #Syslog #Server: Schwachstelle ermöglicht Offenlegung von Informationen

Ein lokaler Angreifer kann eine Schwachstelle in SolarWinds Kiwi Syslog Server ausnutzen, um Informationen offenzulegen.

https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0310

By the way, anybody knows about nut configuration ? I'm trying to get logs for UPS events. In /etc/nut/upsmon.conf I have the following... and to my understanding, it should work as is and log events in syslog.

NOTIFYFLAG ONLINE SYSLOG+WALL
NOTIFYFLAG ONBATT SYSLOG+WALL
NOTIFYFLAG LOWBATT SYSLOG+WALL

Except it doesn't. Nothing in /var/log/messages, daemon.log or else...

Any idea?

#Linux #UPS #NUT #syslog

Need a reference guide for the Syslog protocol? 📑 #Graylog's Jeff Darrington's got you covered! 🙌

Check out this guide which covers:
▪️ RFC 3164 (BSD Syslog Protocol)
▪️ RFC 5424 (Structured Syslog Protocol)
▪️ RFC 3195 (Reliable Delivery for Syslog)
▪️ RFC 6587 (Syslog over TCP)
▪️ Syslog Kafka (formatted as per RFC 3164 or RFC 5424)
▪️ Syslog AMQP (Advanced Message Queuing Protocol)
▪️ Syslog TCP/UDP (Multiline format)

#Syslog is a logging protocol that is supported across many applications as well as hardware, and despite having been developed in the 1980s is still a very common format in use today. Many newer logging formats have come out over the years, but Syslog will still be with us for quite some time.

https://graylog.org/post/syslog-protocol-a-reference-guide/ #logmanagement #loganalysis #cybersecurity

Juniper routers, как правильно собрать syslogs и красиво оформить dashboard в grafana

В данное статье рассматривается порядок развертывания системы сбора и анализа логов с сетевых устройств производства Juniper Networks, посредством применения «Vector», «Loki» и «Grafana». Подробно описан процесс развертывания данных инструментов с помощью docker‑compose. Помимо этого, в статье затрагивается конфигурация сетевых устройств с использованием Ansible. Отдельное внимание отведено визуализации данных в Grafana, посредством создания dashboard.

https://habr.com/ru/articles/876542/

#vector #loki #grafanaдашборд #ansible_playbook #syslog

すごいログ分析ツール TWSLAの紹介
https://qiita.com/twsnmp/items/82bc6e0e987ee269d26f?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #Go #syslog #ログ分析 #ログ分析ツール

logs too - i need to figure out how to do that #centralized logging #syslog-ng #514

TIL: bloss nicht die default Firewall Policy Logs an den SIEM-server weiterleiten

https://www.pelzel.de/2025/01/08/til-bloss-nicht-die-default-firewall-policy-logs-an-den-seam-server-weiterleiten/

Allow me to announce sysklogd v2.7.0 🎉 🥳

New message filtering and matching support as the #FreeBSD syslogd, based on: program and host name, as well as matching any RFC3164 or RFC5424 message field, including advanced regexp matching. Additionally, this release is the first to fully support #multicast messaging in the `logger` tool, in libsyslog.a (using the #NetBSD `syslogp()` API), and syslogd forwarding and listening.

https://github.com/troglobit/sysklogd/releases/tag/v2.7.0

#opensource #linux #bsd #unix #syslog