rsyslog — Ferramentas CySA+

rsyslog

Adiscon / rsyslog Project

Daemon syslog Unix de alta performance — padrão na maioria das distros Linux modernas.

Logs e SIEM Gratuito e Open Source Agente / Serviço Em Estudo Linux

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O rsyslog é a implementação padrão de syslog na maioria das distros modernas (RHEL/CentOS/Debian/Ubuntu). É o sucessor do sysklogd e conhecido pela performance e pela arquitetura modular (módulos im* de input, om* de output, mm* de modify, pm* de parse).

Capacidades-chave:

Transporte confiável (TCP, TLS, RELP).
Output direto para Elasticsearch, Kafka, MySQL, arquivo, journal e syslog remoto.
Filtros por propriedade e RainerScript para roteamento avançado.
Filas em disco para sobreviver a outages do SIEM sem perder eventos.

Casos de uso

Forwarder padrão em RHEL/Debian para um SIEM
Envio direto ao Elasticsearch via omelasticsearch
Agregação de alto volume na frente de um indexer

Exemplo

# /etc/rsyslog.d/50-forward.conf
*.* action(type="omfwd" target="siem.internal" port="6514"
           protocol="tcp" StreamDriver="gtls" StreamDriverMode="1")