View a markdown version of this page

Ingestão de syslog - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ingestão de syslog

A ingestão gerenciada de syslog do Amazon CloudWatch Logs permite que você envie mensagens de syslog (RFC 5424, RFC 3164 e Cisco FTD/ASA) de firewalls, roteadores, switches e servidores Linux diretamente para o Logs, sem instalar ou gerenciar nenhum agente. CloudWatch Suas fontes de syslog enviam mensagens por TCP, TCP+TLS ou UDP para um VPC endpoint em sua conta. O tráfego é encapsulado AWS PrivateLink para o serviço syslog do CloudWatch Logs, que analisa automaticamente as mensagens recebidas e extrai campos estruturados, como instalação, gravidade, nome do host e nome do aplicativo, eliminando a necessidade de pipelines de análise personalizados. Em seguida, você pode consultar esses campos usando o CloudWatch Logs Analytics para investigar eventos de segurança ou solucionar problemas de conectividade. Isso ajuda você a centralizar a visibilidade dos registros da infraestrutura, simplificar os fluxos de trabalho operacionais e reduzir a sobrecarga de implantação e manutenção de agentes de coleta de registros em ambientes distribuídos.

Se suas fontes de syslog já estiverem em sua Amazon VPC, elas poderão enviar mensagens diretamente para o endpoint da VPC. Se suas fontes estiverem externas AWS (data centers locais, filiais ou instalações de co-localização), elas poderão acessar o VPC endpoint por meio de sua conexão VPN ou Direct Connect.

Protocolos e portas compatíveis

Protocolo Porta Observações
TCP + TLS 6514 Criptografado em trânsito. Recomendado para requisitos de conformidade.
Texto sem formatação TCP 1514 Texto sem formatação AWS PrivateLink (isolado em rede).
UDP 514 Best-effort entrega.

O TLS na porta 6514 é encerrado no balanceador de carga de rede usando um AWS certificado gerenciado emitido pela Amazon Trust Services. Seus clientes syslog confiam nesse certificado automaticamente sem nenhuma configuração especial.

nota

O UDP é o protocolo de melhor esforço. As mensagens podem ser perdidas devido às condições da rede. Use o TCP para uma entrega confiável.

Formatos de syslog suportados

CloudWatch O Logs detecta e analisa automaticamente os seguintes formatos de syslog:

  • RFC 5424 (o formato mais recente) — Inclui dados estruturados, registros de data e hora ISO 8601 e campos explícitos de nome do aplicativo e ID do processo.

  • RFC 3164 (syslog BSD, o formato legado) — Inclui BSD-style timestamps e um campo TAG. Ainda é amplamente utilizado por dispositivos de rede, como firewalls, roteadores e switches.

  • Cisco FTD/ASA — O formato syslog usado pelos dispositivos Cisco Firepower Threat Defense (FTD) e Adaptive Security Appliance (ASA). As mensagens são identificadas pela %ASA- tag %FTD- ou no corpo da mensagem.

As mensagens são armazenadas em seu grupo de registros em seu formato bruto original. CloudWatch O Logs extrai automaticamente campos estruturados de cada formato, que você pode consultar usando o CloudWatch Logs Insights.

Campos extraídos do RFC 5424

Campo Description
facilityNome da categoria de registro (por exemplokern,,auth,local0).
facilityCodeCódigo numérico da instalação (0—23).
severityNome do nível de gravidade (por exemploemerg,,err,info).
severityCodeCódigo de severidade numérico (0—7).
timestampCarimbo de data/hora da mensagem no formato ISO 8601.
hostnameNome do host do dispositivo de origem.
appNameApplication name (Nome da aplicação).
procIdID do processo.
msgIdIdentificador da mensagem.
structuredDataElementos de dados estruturados RFC 5424 (metadados de valores-chave).
messageCorpo da mensagem.

Campos extraídos do RFC 3164

Campo Description
facilityNome da categoria de registro.
facilityCodeCódigo numérico da instalação (0—23).
severityNome do nível de severidade.
severityCodeCódigo de severidade numérico (0—7).
timestampCarimbo de data/hora da mensagem (convertido do formato BSD para ISO 8601).
hostnameNome do host do dispositivo de origem.
appNameNome do aplicativo (extraído do campo TAG).
procIdID do processo (extraído do campo TAG, se presente).
messageCorpo da mensagem.

Campos FTD/ASA extraídos da Cisco

Campo Description
deviceTipo de dispositivo (FTDASA, ouFMC-AUDIT-LOG).
timestampCarimbo de data/hora da mensagem (formato RFC 3164 ou RFC 5424, dependendo da configuração do dispositivo).
deviceIdNome do host do dispositivo (presente quando o device-id registro é configurado no dispositivo).
severityNome do nível de gravidade (por exemploinformational,,warning,critical).
severityLevelNível de severidade numérica (0—7).
messageIdIdentificador de mensagem numérica Cisco (por exemplo,106023,302013).
subsystemNome do subsistema (presente para determinados tipos de mensagens).
messageCorpo da mensagem (texto simples) ou campos de valores-chave individuais quando o corpo usa o formato estruturado da Cisco.

Entrega de mensagens

Ao contrário da HTTP-based ingestão, em que o servidor retorna um código de status para cada solicitação, o syslog não fornece uma confirmação de sucesso por mensagem ao remetente. Depois que as mensagens são recebidas pelo serviço, elas são armazenadas em buffer e entregues ao seu grupo de registros com novas tentativas de erros transitórios. As garantias de entrega dependem do protocolo de transporte escolhido:

  • TCP (portas 6514 e 1514) — Fornece entrega confiável em condições operacionais normais.

    Quando a entrega não é possível, o serviço redefine a conexão TCP para sinalizar a falha ao seu cliente. As mensagens em andamento nessa conexão podem ser interrompidas, mas a redefinição da conexão fornece uma contrapressão imediata para que seu cliente possa detectar o problema e armazenar as mensagens localmente até que a condição seja resolvida. Sob pressão de capacidade, o serviço rejeita novas conexões TCP mais cedo, fornecendo o mesmo sinal de contrapressão.

    As condições que causam a redefinição da conexão incluem:

    • A política de VPC endpoint nega acesso

    • A PutLogEvents cota da sua conta foi excedida

    • O grupo de registros de destino não existe

    • A política de recursos no grupo de registros nega o acesso

  • UDP (porta 514) — Best-effort entrega. As mensagens que não podem ser entregues são descartadas sem nenhum feedback para o remetente. As mensagens também podem ser perdidas devido ao congestionamento da rede ou a restrições de capacidade. Use TCP se a entrega confiável for importante para seu caso de uso.

Para detectar e responder aos problemas de entrega, monitore a SyslogMessagesDropped métrica em CloudWatch. A Reason dimensão indica por que as mensagens foram descartadas para que você possa tomar medidas corretivas. Para obter mais informações, consulte Monitorando a ingestão de syslog.

Cotas e limites

Limite Valor Observações
Tamanho máximo da mensagem (TCP) 64 KB As mensagens de syslog padrão geralmente estão bem abaixo desse limite. Se você tiver um caso de uso que exija mensagens maiores, entre em contato com o AWS Support.
Tamanho máximo da mensagem (UDP) 8 KB As mensagens de syslog padrão geralmente estão bem abaixo desse limite. Se você tiver um caso de uso que exija mensagens maiores, entre em contato com o AWS Support.
Taxa de transferência de ingestão Compartilhado com PutLogEvents A ingestão de syslog é contabilizada na PutLogEvents cota da sua conta (5.000 solicitações por segundo por conta por região, por padrão).

A cota de PutLogEvents é ajustável. Se seu tráfego de syslog exigir maior taxa de transferência, solicite um aumento de cota por meio de Service Quotas.