Volver a Indice de Documentacion Pandora FMS

1 Recolección de logs

1.1 Introducción

Hasta ahora Pandora FMS no tenía una solución a este problema, pero con la versión 5.0 Pandora FMS Enterprise ofrece una solución para poder gestionar cientos de megabytes de datos diarios. Esta solución permite reutilizar los mismos agentes de la monitorización para la recolección específica de datos de logs, utilizando una sintaxis muy similar a la actual para la monitorización de logs.

La monitorización de logs en Pandora FMS se plantea de dos formas diferentes:

1. Basada en módulos: Representa logs en Pandora FMS como monitores asíncronos, pudiendo asociar alertas a las entradas detectadas que cumplan una serie de condiciones preconfiguradas por el usuario. La representación modular de los logs nos permite:
   1. Crear módulos que cuenten las ocurrencias de una expresión regular en un log.
   2. Obtener las líneas y el contexto de los mensajes de log
2. Basada en visualización combinada: Permite al usuario visualizar en una única consola toda la información de logs de múltiples orígenes que se desee capturar, organizando la información secuencialmente utilizando la marca de tiempo en que se procesaron los logs.

A partir de la versión 7.0NG 712, Pandora FMS incorpora ElasticSearch para almacenar la información de logs, lo que implica una mejora sustancial del rendimiento.

1.2 Cómo funciona

El proceso es simple:

• Los logs analizados por los agentes (eventlog o ficheros de texto), son reenviados hacia el servidor de Pandora FMS, en forma "literal" (RAW) dentro del XML de reporte del agente:

• El servidor de Pandora FMS (DataServer) recibe el XML del agente, que contiene información tanto de monitorización como de logs.

• Cuando el DataServer procesa los datos del XML identifica la información de los logs, guardando en la base de datos principal las referencias del agente que ha reportado y el origen del log, enviando automáticamente la información a ElasticSearch.

• Pandora FMS almacena los datos en índices de ElasticSearch generando diariamente un índice único por cada instancia de Pandora FMS.

• El servidor de Pandora FMS dispone de una tarea de mantenimiento que elimina los índices en el intervalo definido por el administrador del sistema (por defecto, 90 días).

1.3 Configuración

1.3.1 Configuración del servidor

El nuevo sistema de almacenamiento de logs, basado en ElasticSearch, requiere configurar los diferentes componentes.

1.3.1.1 Requisitos para el servidor

Es posible distribuir cada componente (Pandora FMS Server, ElasticSearch) en servidores independientes.

Si decide alojar ElasticSearch y LogStash en el mismo servidor, recomendamos:

• Centos 7.
• Al menos 4GB de RAM, aunque se recomiendan 6GB de RAM por cada instancia de ElasticSearch.
• Al menos 2 CPU cores.
• Al menos 20 GB de espacio en disco para el sistema.
• Al menos 50 GB de espacio en disco para los datos de ElasticSearch (el número puede variar dependiendo de la cantidad de datos que se desee almacenar).
• Conectividad desde el servidor y la consola de Pandora FMS a la API de ElasticSearch (por defecto puerto 9200/TCP ).

1.3.1.2 Instalación y configuración de ElasticSearch

Antes de empezar con la instalación de estos componentes es necesaria la instalación de Java en la máquina:

yum install java

Una vez instalado Java, instalar ElasticSearch siguiendo la documentación oficial: https://www.elastic.co/guide/en/elasticsearch/reference/7.6/install-elasticsearch.html

En caso de una instalación en sistemas CentOS/Red Hat, la instalación recomendada es por medio de rpm: https://www.elastic.co/guide/en/elasticsearch/reference/7.6/rpm.html

Configurar el servicio:

Configuraremos las opciones de red y, opcionalmente, las ubicaciones de datos (y logs del propio ElasticSearch) en el fichero de configuración ubicado en /etc/elasticsearch/elasticsearch.yml

# ---------------------------------- Network -----------------------------------
# Set a custom port for HTTP:
http.port: 9200
# ----------------------------------- Paths ------------------------------------
# Path to directory where to store the data (separate multiple locations by comma):
path.data: /var/lib/elastic
# Path to log files:
path.logs: /var/log/elastic

Será necesario descomentar y definir también las siguientes líneas como siguen:

cluster.name: elkpandora
node.name: ${HOSTNAME}
bootstrap.memory_lock: true
network.host: ["127.0.0.1", “IP"]

• cluster.name: Será el nombre que recibirá el cluster.
• node.name: Para nombrar el nodo, con ${HOSTNAME} tomará el nombre del host.
• bootstrap.memory_lock: Siempre deberá ser "true".
• network.host: La IP del servidor.

Si trabajamos con un solo nodo será necesario añadir también la siguiente línea:

discovery.type: single-node

En caso de trabajar con un clúster necesitaremos completar el parámetro discovery.seed_hosts.

discover.seed_hosts : ["ip", "ip", "ip"]

O bien:

discovery.seed_hosts:
 - 192.168.1.10:9300
 - 192.168.1.11
 - seeds.mydomain.com

Habrá que determinar las opciones de recursos asignados a ElasticSearch, ajustando los parámetros disponibles en el fichero de configuración ubicado en /etc/elasticsearch/jvm.options. Se recomienda utilizar al menos 2GB de espacio en XMS.

# Xms represents the initial size of total heap space
# Xmx represents the maximum size of total heap space
-Xms2g
-Xmx2g

La asignación de recursos se asignará en función del uso que se quiera dar a ElasticSearch. Recomendamos seguir la documentación oficial de ElasticSearch: https://www.elastic.co/guide/en/elasticsearch/reference/current/heap-size.html

Es necesario cambiar también en el fichero de configuración de ElasticSearch el parámetro memlock unlimited.

La ruta del fichero es:

/usr/lib/systemd/system/elasticsearch.service

Donde deberemos añadir el siguiente parámetro:

MAX_LOCKED_MEMORY=unlimited

Una vez finalizado será necesario ejecutar:

systemctl daemon-reload && systemctl restart elasticsearch

El comando para iniciar el servicio es:

systemctl start elasticsearch

Nota: Si el servicio no consigue iniciarse, revise los logs ubicados en /var/log/elasticsearch/

Para comprobar la instalación de ElasticSearch bastará con ejecutar el siguiente comando:

curl -q http://{IP}:9200/

Que debería ofrecer una respuesta similar a la siguiente:

{
  "name" : "3743885b95f9",
  "cluster_name" : "docker-cluster",
  "cluster_uuid" : "7oJV9hXqRwOIZVPBRbWIYw",
  "version" : {
    "number" : "7.6.2",
    "build_flavor" : "default",
    "build_type" : "docker",
    "build_hash" : "ef48eb35cf30adf4db14086e8aabd07ef6fb113f",
    "build_date" : "2020-03-26T06:34:37.794943Z",
    "build_snapshot" : false,
    "lucene_version" : "8.4.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

Se recomienda visitar el enlace a las best practices de ElasticSearch para entornos de producción: https://www.elastic.co/guide/en/elasticsearch/reference/current/system-config.html#dev-vs-prod

1.3.1.3 Instalación y configuración de LogStash

Instalar LogStash 5.6.2 desde el RPM descargable de la página web del proyecto ElasticSearch: https://artifacts.elastic.co/downloads/logstash/logstash-5.6.2.rpm

Una vez descargado el paquete, lo instalamos ejecutando:

rpm -i logstash-X.X.X.rpm

Configurar el servicio:

Dentro de la configuración de Logstash existen tres bloques de configuración:

• Input: Indica cómo le llega la información a Logstash, formato, puerto y un identificador que se utilizará para almacenar la información internamente en Elastic.
• Filter: Es posible agregar un post-procesado aquí, pero para nuestro caso no será necesario, por lo que lo dejaremos vacío.
• Output: Aquí viene la configuración de la IP y puerto donde estará escuchando ElasticSearch; es el sitio donde se guardará la información procesada por Logstash.

Fichero de configuración:

/etc/logstash/conf.d/logstash.conf

Ejemplo de fichero de configuración:

# This input block will listen on port 10514 for logs to come in.
# host should be an IP on the Logstash server.
# codec => "json" indicates that we expect the lines we're receiving to be in JSON format
# type => "rsyslog" is an optional identifier to help identify messaging streams in the pipeline.
input {
 tcp {
    host  => "0.0.0.0"
    port  => 10516
    codec => "json"
    type  => "pandora_remote_log_entry"
 }
}
# This is an empty filter block.  You can later add other filters here to further process
# your log lines
filter { }
output {
  elasticsearch { hosts => ["0.0.0.0:9200"] }
}

En los apartados de "host" debemos introducir la IP del servidor en lugar de “0.0.0.0”.

En el archivo "logstash-sample.conf" deberemos cambiar también "localhost", donde debe introducirse la IP del servidor.

Iniciar el servicio:

systemctl start logstash

Nota Si está intentando instalar LogStash en Centos 6 en contra de nuestra recomendación, puede iniciarlo con el siguiente comando:

initctl start logstash

1.3.1.4 Parámetros de configuración en Pandora FMS Server

Será necesario agregar la siguiente configuración al archivo de configuración de Pandora FMS Server (/etc/pandora/pandora_server.conf) para que Pandora FMS DataServer procese la información de logs.

Importante: Todo log que llegue a Pandora FMS sin tener activa esta configuración será descartado.

logstash_host eli.artica.lan
logstash_port 10516

1.3.1.5 Pandora FMS SyslogServer

A partir de la actualización 717 de Pandora FMS 7.0NG aparece un nuevo componente: SyslogServer.

Este componente permite a Pandora FMS analizar el syslog de la máquina donde está ubicado, analizando su contenido y almacenando las referencias en nuestro servidor de ElasticSearch.

La ventaja principal del SyslogServer consiste en complementar la unificación de logs. Apoyándose en las características de exportado de Syslog de los entornos Linux y Unix, SyslogServer permite la consulta de logs independientemente del origen, buscando en un único punto común (visor de logs de la consola de Pandora FMS).

La instalación de Syslog se realizará tanto en cliente como en servidor, y para ejecutarla será necesario lanzar el siguiente comando:

yum install rsyslog

Una vez instalado Syslog en los equipos con los que queramos trabajar, será importante tener en cuenta que habrá que acceder al fichero de configuración para habilitar el input TCP y UDP.

/etc/rsyslog.conf

Tras realizar este ajuste será necesario detener y volver a arrancar el servicio rsyslog.

Una vez el servicio vuelva a estar corriendo, podemos realizar una comprobación de puertos para ver que el 514 está accesible.

netstat -ltnp

Después de activar el servicio y comprobar los puertos, debemos configurar el cliente para que pueda enviar los logs al servidor. Para ello accederemos una vez más al fichero de configuración de rsyslog.

/etc/rsyslog.conf

Será necesario localizar y habilitar la línea que permite configurar el host remoto. Habrá que especificar qué queremos enviar, con lo que quedará como sigue:

*.* @@remote-host:514

Para más información de la configuración de rsyslog, visitar la web oficial: https://www.rsyslog.com/

Para activar esta funcionalidad simplemente tendremos que habilitarlo en la configuración, agregando a pandora_server.conf el siguiente contenido:

# Enable (1) or disable (0) the Pandora FMS Syslog Server (PANDORA FMS ENTERPRISE ONLY).
syslogserver 1
# Full path to syslog's output file (PANDORA FMS ENTERPRISE ONLY).
syslog_file /var/log/messages
# Number of threads for the Syslog Server (PANDORA FMS ENTERPRISE ONLY).
syslog_threads 2
# Maximum number of lines queued by the Syslog Server's producer on each run (PANDORA FMS ENTERPRISE ONLY).
syslog_max 65535

Necesitará un servidor LogStash/ElasticSearch habilitado y configurado; por favor, revise los puntos precedentes para saber cómo configurarlo.

syslogserver: Booleano, habilita (1) o deshabilita (0) el motor de análisis de SYSLOG local.

syslog_file: Ubicación del fichero donde se están entregando las entradas de los SYSLOG.

syslog_threads: Número de hilos máximo que se utilizarán en el sistema productor/consumidor del SyslogServer.

syslog_max: Es la ventana de procesado máxima para SyslogServer; será el número máximo de entradas del SYSLOG que se procesarán en cada iteración.

1.3.1.6 Recomendaciones

1.3.1.6.1 Rotación de logs para ElasticSearch y Logstash

Importante: como recomendación, crear una nueva entrada para el demonio de rotado de logs en /etc/logrotate.d, para evitar que los logs de ElasticSearch o LogStash crezcan sin medida:

cat > /etc/logrotate.d/elastic <<EOF
/var/log/elastic/elaticsearch.log
/var/log/logstash/logstash-plain.log {
       weekly
       missingok
       size 300000
       rotate 3
       maxage 90
       compress
       notifempty
       copytruncate
}
EOF

1.3.1.6.2 Purgado de índices

Puede consultar en todo momento el listado de índices y el tamaño que ocupan lanzando una petición cURL contra su servidor ElasticSearch:

curl -q http://elastic:9200/_cat/indices?

Donde "elastic" se refiere a la IP del servidor.

Para eliminar cualquiera de estos índices puede ejecutar la orden DELETE:

curl -q -XDELETE http://elastic:9200/{index-name}

Donde "elastic" se refiere a la IP del servidor, e "{index-name}" es el fichero de salida del comando anterior.

Esta operación liberará el espacio utilizado por el índice eliminado.

1.3.2 Configuración de la consola

Para activar el sistema de visualización de logs deberá activar la siguiente configuración:

Luego podemos configurar el comportamiento del visor de logs en la pestaña 'Log Collector':

En esta pantalla podremos configurar:

• Dirección IP o FQDN del servidor que aloja el servicio ElasticSearch

• Puerto a través del que se está prestando el servicio ElasticSearch

• Número de logs mostrados: Para agilizar la respuesta de la consola se ha añadido la carga dinámica de registros. Para usarla, el usuario debe hacer scroll hasta el final de la página, lo que obliga a cargar el siguiente grupo de registros disponible. El tamaño de estos grupos se puede configurar en este campo como el número de registros por grupo.

• Días para purgado: Para evitar que el tamaño del sistema se sobrecargue, se puede definir un número máximo de días que se almacenará la información de logs; a partir de esa fecha se borrarán automáticamente en el proceso de limpieza de Pandora FMS.

1.3.3 Elasticsearch Interface

A partir de la version 747 de Pandora FMS se hace disponible la interfaz de Elastic Search donde podremos realizar cambios en nuestra configuración a través de los templates.

En la configuración por defecto Pandora genera un indice por día, el cual Elastics se encarga de fragmentar y repartir de tal forma que cuando busquemos algo, Elastic sabe donde encontrar el search o fragmento.

Para que esta búsqueda sea optima por defecto Elastics genera un indice por cada search, por lo que debemos de configurar en nuestro entorno tantos search como nodos de Elastics tengamos.

Estos search y replicas se configuran cuando se crea un indice, que Pandora genera automáticamente, por lo que para modificar esta configuración debemos hacer uso de los templates.

1.3.3.1 Templates de Elasticsearch

Para crear un template básico, solo debemos definir los campos:

{
 "index_patterns": ["pandorafms*"],
 "settings": {
   "number_of_shards": 1,
   "auto_expand_replicas" : "0-1",
   "number_of_replicas" : "0"
 },
"mappings" : {
     "properties" : {
       "agent_id" : {
         "type" : "long",
         "fields" : {
           "keyword" : {
             "type" : "keyword",
             "ignore_above" : 256
           }
         }
       },
       "group_id" : {
         "type" : "long",
         "fields" : {
           "keyword" : {
             "type" : "keyword",
             "ignore_above" : 256
           }
         }
       },
       "group_name" : {
         "type" : "text",
         "fields" : {
           "keyword" : {
             "type" : "keyword",
             "ignore_above" : 256
           }
         }
       },
       "logcontent" : {
         "type" : "text",
         "fields" : {
           "keyword" : {
             "type" : "keyword",
             "ignore_above" : 256
           }
         }
       },
       "source_id" : {
         "type" : "text",
         "fields" : {
           "keyword" : {
             "type" : "keyword",
             "ignore_above" : 256
           }
         }
       },
       "suid" : {
         "type" : "text",
         "fields" : {
           "keyword" : {
             "type" : "keyword",
             "ignore_above" : 256
           }
         }
       },
       "type" : {
         "type" : "text",
         "fields" : {
           "keyword" : {
             "type" : "keyword",
             "ignore_above" : 256
           }
         }
       },
       "utimestamp" : {
         "type" : "long"
       }
     }
   }
 }
}

En cambio, si queremos definir un template multinodo hay varias cosas que debemos tener en cuenta.

Cuando realicemos la configuración de nuestro template(JSON), debemos de tener en cuenta el configurar tantos search como nodos tengamos, sin embargo para configurar correctamente las replicas debemos restar 1 al numero de nodos que tenga nuestro entorno.

De esta forma, en un entorno de Elasticsearch con Pandora en el cual tengamos configurados 3 nodos, cuando modifiquemos los campos "number_of_search" y "number_of_replicas" deberían quedar de la siguiente manera:

{
 "index_patterns": ["pandorafms*"],
 "settings": {
   "number_of_shards": 3,
   "auto_expand_replicas" : "0-1",
   "number_of_replicas" : "2"
 },

Podremos realizar estas operaciones a través de la interfaz de Elastic Search en Pandora FMS utilizando los comandos nativos de Elastics Search.

• PUT _template/nombredeltemplate: permite introducir los datos de nuestro template.
• GET _template/nombredeltemplate: permite ver el template

1.4 Migración al sistema LogStash + ElasticSearch

Una vez configurado el nuevo sistema de almacenamiento de logs, puede migrar todos los datos almacenados previamente en Pandora FMS, en forma distribuída en directorios al nuevo sistema.

Para migrar al nuevo sistema, deberá ejecutar el siguiente script que puede encontrar en /usr/share/pandora_server/util/

# Migrate Log Data < 7.0NG 712 to >= 7.0NG 712
/usr/share/pandora_server/util/pandora_migrate_logs.pl /etc/pandora/pandora_server.conf

1.5 Visualización y búsqueda

En una herramienta de colección de logs nos interesan principalmente dos cosas: buscar información -filtrando por fecha, fuentes de datos y/o palabras clave- y ver esa información dibujada en ocurrencias por unidad de tiempo. En este ejemplo, estamos buscando todos los mensajes de log de todos los orígenes en la última hora:

Vista de ocurrencias a lo largo del tiempo

Existe una serie de opciones para filtrar la información que muestra el visor:

• Filtro de tipo de búsqueda: Podemos buscar por coincidencia exacta, todas las palabras o cualquier palabra.
• Filtro por contenido del mensaje: Busca en el contenido del mensaje el texto indicado.
• Filtro por origen de log (source id).
• Filtro por agente: Limita los resultados de búsqueda a los generados por el agente seleccionado.
• Filtro por grupo: Limita la selección de agentes en el filtro por agente.
• Filtro por fecha.

El campo más importante -y útil- para nosotros será la cadena de búsqueda (search en la captura). Esto puede ser una simple cadena de texto, como en el caso anterior, o una expresión comodín, como por ejemplo una dirección IP:

192.168*

Nota: Las búsquedas deben realizarse utilizando palabras completas o subcadenas iniciales de las palabras a buscar. Algunos ejemplos:

192.168.80.14
192.168*
Alerta en sistema
Alerta en sis
Error

Debemos seleccionar uno de los 3 tipos de búsqueda:

• Coincidencia exacta: Búsqueda de cadena literal.

• Todas las palabras: Búsqueda de todas las palabras indicadas, independientemente del orden en una misma línea, teniendo en cuenta que cada palabra está separada por espacios.

• Cualquier palabra: Búsqueda de cualquier palabra indicada, independientemente del orden, teniendo en cuenta que cada palabra está separada por espacios.

Si marcamos la opción de ver el contexto del contenido filtrado, obtendremos una vista general de la situación con información de otras líneas de logs relacionadas con nuestra búsqueda:

1.5.1 Visualización y búsqueda avanzadas

A partir de Pandora FSM 7.0NG OUM727 están disponibles las opciones avanzadas para visualización de datos de log.

Con esta característica podremos graficar las entradas de log, clasificando la información en base a modelos de captura de datos.

Estos modelos de captura de datos son básicamente expresiones regulares e identificadores, que nos permitirán analizar los orígenes de datos y mostrarlos como un gráfico.

Para acceder a las opciones avanzadas pulse en Advanced options. Se mostrará un formulario donde podrá elegir el tipo de vista de resultados:

- Mostrar entradas de log (texto plano). - Mostrar gráfica de log.

Bajo la opción mostrar gráfica de log podemos seleccionar el modelo de captura.

El modelo por defecto, Apache log model, ofrece la posibilidad de parsear logs de Apache en formato estándar (access_log), pudiendo extraer gráficas comparativas de tiempo de respuesta, agrupando por página visitada y código de respuesta:

Al pulsar en el botón de editar, editaremos el modelo de captura seleccionado. Con el botón de crear agregaremos un nuevo modelo de captura.

En el formulario que aparece, podremos elegir:

Título

Un nombre para el modelo de captura.

Una expresión regular de captura de datos

cada campo a extraer se identifica con la subexpresión entre los paréntesis (expresión a capturar).

Los campos

En el orden en que los hemos capturado con la expresión regular. Los resultados se agruparán por la concatenación de los campos clave, que son aquellos cuyo nombre no esté entre guiones bajos:

clave, _valor_

clave1,clave2,_valor_

clave1,_valor_,clave2

Observación: Si no especificamos un campo valor, será automáticamente el conteo de apariciones que coinciden con la expresión regular.

Observación 2: Si especificamos una columna valor podremos elegir entre representar el valor acumulado (comportamiento por defecto) o marcar el checkbox para representar el promedio.

Ejemplo

Si quisiéramos extraer entradas de un log con el siguiente formato:

Sep 19 12:05:01 nova systemd: Starting Session 6132 of user root.
Sep 19 12:05:01 nova systemd: Starting Session 6131 of user root.

Para contar el número de veces que se ha iniciado sesión, agrupando por usuario, usaremos:

Expresión regular

Starting Session \d+ of user (.*?)\.

Campos:

username

Este modelo de captura nos devolverá el número de inicios de sesión por usuario del intervalo de tiempo que seleccionemos.

1.6 Configuración de los agentes

La recolección de logs se hace mediante los agentes, tanto en el agente Windows como en los agentes Unix (Linux, MacOsX, Solaris, HPUX, AIX, BSD, etc). En el caso de los agentes Windows, también se puede obtener información del visor de eventos de Windows, utilizando los mismos filtros que en el módulo de monitorización del visor de eventos.

Veamos dos ejemplos para capturar información de logs, en Windows y en Unix:

1.6.1 En Windows

module_begin
module_name Eventlog_System
module_type log
module_logevent
module_source System
module_end 

module_begin
module_name PandoraAgent_log
module_type log
module_regexp C:\archivos de programa\pandora_agent\pandora_agent.log
module_description This module will return all lines from the specified logfile
module_pattern .*
module_end

En ambos casos, la única diferencia de un módulo de monitorización a la definición de una fuente de log, es:

module_type log 

Esta nueva sintaxis solo la entiende el agente de la versión 5.0, por lo que debe actualizar los agentes si quiere utilizar esta nueva funcionalidad Enterprise.

1.6.2 Sistemas Unix

En Unix se utiliza un nuevo plugin, que viene con el agente de la versión 5.0. Su sintaxis es bien sencilla:

module_plugin grep_log_module /var/log/messages Syslog \.\*

Similar al plugin de parseo de logs (grep_log), el plugin grep_log_module envía la información procesada del log al colector de logs con el nombre de "Syslog" como origen del log. Utiliza la expresion regular \.\* (en este caso "todo") como patrón a la hora de elegir qué líneas enviamos y cuáles no.

1.7 Log Source en la Vista de Agentes

A partir de la versión 749 de Pandora FMS, se ha añadido en la Vista del agente un box llamado 'Log sources status', en el cual aparecerá la fecha de la última actualización de los logs por parte de ese agente. Al pulsar en el icono de la lupa de Review se nos redirigirá a la vista del Log Viewer filtrada por ese log.

Volver a Indice de Documentacion Pandora FMS