Logmanager Forwarder
Logmanager Forwarder je samostatné zařízení, které slouží jako rozšíření hlavního systému Logmanager. Jeho cílem je sběr zpráv ze zařízení v lokální síti (LAN) a jejich přenos na hlavní Logmanager server.
Pokud zdrojová zařízení nakonfigurujete tak, aby odesílala logy na IP adresu Logmanager Forwarder serveru, Forwarder bude ukládat zprávy do mezipaměti a přenášet je do hlavního systému Logmanageru.
Logmanager Forwarder přijímá šifrované i nešifrované zprávy, logy atd… ze zařízení v lokální síti LAN a poté je bezpečně přeposílá jako šifrované zprávy na server Logmanageru.
Zprávy přijaté a odeslané Logmanager Forwarder serverem si zachovávají původní identifikační údaje zdrojových zařízení včetně IP adresy atd…
---
title: Přehledový Diagram
---
%%{
init: {
'theme': 'base',
'themeVariables': {
'primaryColor': '#fff',
'primaryTextColor': '#0F0FD7',
'primaryBorderColor': '#0F0FD7',
'lineColor': '#0F0FD7',
'secondaryColor': '#fff',
'tertiaryColor': '#fff'
}
}
}%%
flowchart LR
A[Server 1] -->|Šifrované| D(Logmanager Forwarder)
B[Server 2] -->|Šifrované| D(Logmanager Forwarder)
C[Server 3] -.->|Nešifrované| D(Logmanager Forwarder)
D[Logmanager Forwarder] -->|Šifrované| E(Logmanager Server)
Instalaci Virtuálního Logmanager Forwarderu uvnitř VMWare a Hyper-V je možné nalézt v kapitole Virtuální Logmanager.
Hardware pro test:
- VMware ESX 6.0
- 2x Intel Xeon E5-2420v2
- 196GB RAM
- 4x 3TB SATA 7200 rpm v RAID 10.
Během testu bylo na ESX spuštěno 56 virtuálních serverů. Testování bylo provedeno odesláním vzorku jednoho milionu zpráv o průměrné délce 501 znaků. Zprávy byly odesílány na syslog server na Logmanager Forwarder VM.
Hardwarová konfigurace a výsledky Logmanager Forwarder VM:
| Virtualní procesor | Počet zpráv za sekundu |
|---|---|
| 1vCPU Intel Xeon E5-2420v2 @ 2.2 GHz | 9000 EPS |
| 2vCPU Intel Xeon E5-2420v2 @ 2.2 GHz | 15600 EPS |
| 3vCPU Intel Xeon E5-2420v2 @ 2.2 GHz | 16000 EPS |
Konfiguraci sítě v Logmanager Forwarderu naleznete na stránce Logmanager CLI.
Tyto kroky budou provedeny im stejném příkazovém řádku jako v předchozí části.
-
Zobrazte výsledek příkazu:
Please enter following authentication key <Logmanager_key> for forwarder id <forwarder_id>. -
Uložte si vrácený autentikační klíč (Logmanager_key) a ID (forwarder_id).
Nyní byste měli být připraveni připojit Logmanager Forwarder k Logmanager serveru.
Logmanager_IP_adresa je IP adresa Vašeho serveru Logmanager.
Logmanager_Forwarder_IP_adresa je IP adresa Vašeho Logmanager Forwarderu.
Pro přidání nástroje Logmanager Forwarder na Logmanager server proveďte následující kroky:
- Přihlaste se do webového rozhraní Logmanager serveru.
- Přejděte do sekce
Zdroje ‣ Forwarder.
Logmanager Forwarder
- Editujte záznam s ID nastavovaného Forwarderu.
Editace nastavení Logmanager Forwarder
- Nové jméno Forwarderu je automaticky a náhodně generováno, přesto doporučujeme změnu na nový jedinečný název.
- Do pole Klíč vložte autentikační klíč (Logmanager_key).
- Záznam uložte.
- V seznamu Forwarderů uvidíte stav připojení (zelené zatržítko) a jejich verzi.
Připojený Logmanager Forwarder
Nastavení uživatelských účtů, NTP serverů, DNS serverů a dalších se automaticky nastaví dle konfigurace hlavního Logmanager serveru.
Tovární nastavení funguje stejně jako server Logmanager, více informací najdete v kapitole Tovární nastavení.
Forwarder se v seznamu forwarderů zobrazí až po zadání příkazu lmhost v CLI režimu Forwarderu, více v kapitole Nastavení Forwarderu. Zkontrolujte také, zda máte správně nastavený firewall a povolené porty z kapitoly Požadavky.
Ověřte následující podmínky:
- Server Logmanager se může úspěšně připojit ke všem Logmanager Forwarderům.
- Zdrojová zařízení jsou nakonfigurována tak, aby odesílala logy na IP adresu Logmanager Forwarder serveru.
- Správně nastavený klasifikátor ve webovém rozhraní Logmanager serveru.
Důležité upozornění, POZOR na Logmanager komunikaci mezi forwardery/nody skrz firewally. Doporučujeme používat blackhole pro vaše interní subnety. Veškerá Logmanager komunikace probíhá skrz UDP porty. Některé firewally za určitých okolností nerespektují routovací tabulku, ale používají session tabulku pro odesílání paketů do špatného interface, což způsobí nefunkční komunikaci mezi Logmanagery/forwardery.
Příklad špatného chování FortiGate, pokud forwarder komunikuje skrz IPSEC interface na centrálu:
- UDP session je navázána skrz IPSEC tunel.
- IPSEC tunel se ocitne ve stavu down (výpadek internetu, rekonfigurace apod.), firewall deaktivuje routy vedoucí do tunelu.
- Firewall zahodí session, nicméně UDP pakety stále chodí. Vytvoří se tedy nová session podle aktuální routovací tabulky (zůstane jen defaultní route do internetu).
- IPSEC tunel se znovu nastartuje a aktivuje route do tunelu.
- Session nicméně stále existuje na interface do internetu, a jelikož UDP pakety stále přicházejí, jsou firewallem chybně odesílány do internetu.