01_momentum_Apps » 02_PASTE

CLIの設定表示機能が拡張されました。

これまでの表示に加え、swatchの設定内容も表示することができます。
より手間なく設定内容の確認ができるようになりました。

実行例：

CLI設定表示機能の動作例を表示隠す

# /opt/momentum_client/bin/show_config.pl 
[[[ momentum syslog integration configuration ]]]

[[ version ]]
  version       : "momentum SYSLOG integration v3.00.00" 

[[ device ]]
[device id : 1]
  [device info]
    device type : "non_filter" 
    log format  : "ssv" (space-separated variables)
  [pcap download params]

[device id : 2]
  [device info]
    device type : "palo_alto_5tuple" 
    log format  : "csv" (comma-separated variables)
    time format : "%Y/%m/%d %H:%M:%S" 
  [pcap download params]
    time        : "1" 
    protocol    : "29" 
    ipsrc       : "7" 
    ipdst       : "8" 
    portsrc     : "24" 
    portdst     : "25" 

[device id : 3]
  [device info]
    device type : "palo_alto_iponly" 
    log format  : "csv" (comma-separated variables)
    time format : "%Y/%m/%d %H:%M:%S" 
  [pcap download params]
    time        : "1" 
    ipsrc       : "7" 
    ipdst       : "8" 

[device id : 4]
  [device info]
    device type : "tippintpoint_4tuple" 
    log format  : "cef" (CEF variables)
    time format : "msec" 
  [pcap download params]
    time        : "2_rt" 
    ipsrc       : "2_src" 
    ipdst       : "2_dst" 
    portsrc     : "2_spt" 
    portdst     : "2_dpt" 

[device id : 5]
  [device info]
    device type : "lastline_iponly" 
    log format  : "cef" (CEF variables)
    time format : "%b %e %Y %H:%M:%S UTC" 
  [pcap download params]
    start       : "2_start" 
    end : "2_end" 
    ipsrc       : "2_src" 
    ipdst       : "2_dst" 

[[ pcap timing ]]
  sleep time    : "15" (sec)
  diff time     : "60" (sec)
  duration      : "65" (sec)

  # [ image of pcap timing ]
  # default: [sleeptime: 15; diff_time: 60; duration: 65;]
  #    sleeptime : Time to wait for processing of present packet
  #                (If it's received in 9:10:11, it begins at 9:10:26.)
  #
  #    diff_time(x - diff_time)            syslog receive timing(x)
  #    |(ex: 09:09:11)                     |(ex: 09:10:11)
  #    v                                   v
  #    ############################################
  #    ^                                          ^
  #    |<-----------   duration   --------------->|
  #    start(x - diff_time)                       end(x - diff_time + duration)
  #    (ex: 09:09:11)                             (ex: 09:10:16)

[[ pcap cleaner ]]
  clean time    : "180" (day)

[[ disk check ]]
  facility      : "local6" 
  threshold     : "90" (%)

[[ debug output ]]
  facility      : "local6" 
  state         : "off" 

[[ pss check ]]
  facility      : "local6" 

[[ pss access ]]
  mode          : "psbcq" 

[[ psbcq ]]
  psbcq_ip              : "localhost" 
  psbcq_port            : "5111" 
  log_info              : "0" 
  log_queue             : "0" 
  log_pscli             : "0" 
  log_pscli_detail      : "0" 

[[ swatch config ]]

[ /opt/momentum_client/conf/local0.conf ]
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
        threshold track_by=$1:$2,type=limit,count=1,seconds=60
        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 172.16.182.108 2" 
watchfor /CEF.+TippingPoint.+ (src|dst|spt|dpt)=([^ ]+).* (src|dst|spt|dpt)=([^ ]+).* (src|dst|spt|dpt)=([^ ]+).* (src|dst|spt|dpt)=([^ ]+)/
        threshold track_by=$2:$4:$6:$8,type=limit,count=1,seconds=60
        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 172.16.180.110 4" 
watchfor /CEF.+Lastline.+ (src|dst)=([^ ]+) .* (src|dst)=([^ ]+)/
        threshold track_by=$2:$4,type=limit,count=1,seconds=60
        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 172.16.180.110 5" 

[ /opt/momentum_client/conf/local1.conf ]
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
        threshold track_by=$1:$2,type=limit,count=1,seconds=60
        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 172.16.182.109 2" 
#

設定：

本機能の拡張に関して、設定項目の追加・変更などはありません。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-3.01.00-20170126.tgz

CEF (Common Event Format)のログを出力する機器と連携する機能が実装されました。

これまでの連携対象に加え、CEF形式のログを出力する機器と連携することができます。
今回のリリースではTippingPointの出力するログに対応できることを確認しています。

より多くの機器と連携した利用ができるようになりました。

設定：

本機能の拡張に際し、設定項目の追加・変更が実施されました。
ver3.00.00未満のバージョンの設定とは細かな部分が異なっており、過去の設定ファイルをそのまま使用することはできません。

バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。
設定については、 wiki - 機器設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-3.00.00-20170125.tgz

ステータス画面が拡張されました。

これまでのステータス画面では、ディスク使用状態や、ディスク使用量の傾向などを確認する機能が搭載されていました。
今回、以下の機能が拡張実装されました。

1. 監視対象（連携対象）となっているlogファイルの最新の数行の表示機能
   ログの追記状況が簡単に確認できます。
2. PASTEの動作に必要なdaemon群の動作状態表示機能
   daemonが正常動作している場合は緑で状態を表示、daemonが停止しているなどの場合は赤で状態を表示します。
   簡単に状態を確認できます。
3. pcap生成状況の表示機能
   1. pcapの生成された過去数日のpcapファイル数の表示機能
   2. もっとも最近に生成されたいくつかのpcapファイルの表示機能

より簡単にシステムの動作状態を確認することができるようになりました。

ステータス画面イメージ：
正常動作している場合の表示例です。

設定：

本機能の拡張に関して、設定項目の追加・変更などはありません。

設定については、 wiki - 機器設定 を参照ください。
upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-2.02.00-20170113.tgz

インストーラーが実装されました。

これまで手作業でのインストールが必要でしたが、インストーラーが実装されました。
これまでよりも簡単に使い始めることができるようになりました。

インストール実行イメージ：

# ./PASTEInstaller.sh
---momentum PASTE Instaler v1.0---

Correcting server information........
・
・（中略）
・
****Installation has completed*****
 Congraturation! Installation of momentum PASTE has completed.
・
・（中略）
・
Now you can access momentum PASTE by following URL:
  http://YOUR_PASTE_IP_ADDR/
# 

設定：

設定については、 wiki - 機器設定 を参照ください。
この機能拡張に際し、設定ファイルに変更は行われていません。
upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-2.01.00-20161201.tgz

PCAP保存順次実施機構を含むメジャーアップデートリリースです。

次の点が変更されました。

1. PCAP保存順次実施機構の実装（PSBCQ：Packet Search Binsrv Client Queue)

これまでの実装方式は、短期間に多くのlogが発生して多くのPCAP取り出しが実施される環境において、効率的に動作する実装ではありませんでした。
今回の機能拡張により、PCAPの取り出しが効率化されます。

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

ダウンロード：
syslog_integration-2.00.00-20161108.tgz

バグフィックスを含むメンテナンスリリースです。
次の点が変更されました。

1. swatchが動作する際に生成されるscriptファイルの保存場所を修正
2. 一覧画面機能におけるpcapファイルが1つも存在しない場合のerrorの抑制
3. ステータス画面機能におけるコメント文の取り扱いの向上

これまでの実装では、scriptファイルの保存場所について指定できていなかったため、「/」(ルート)に「.swatch_script.12345」などのようなファイルが生成されてしまうように動作していました。
本バージョンではこの部分が修正されています。

今後はその時点で有効なscriptファイルのみが、/tmpに存在する形となります。

# ls -al /tmp/.swatch_script.*
-rw-r--r-- 1 root root 3062 Sep 20 07:39 /tmp/.swatch_script.24621
# 

不要なファイルが残ってしまう問題の修正となるものですので、ver1.5.1へのversion-upを推奨します。

なお、過去の不要ファイルの削除は、次の手順で実施ください。

1. PASTEをバージョンアップする
2. swatchの起動ファイルをリロードする
   systemctl daemon-reload
3. swatchをPASTEのconfig画面で停止する
   （もしくは、「systemctl stop swatch」を実行する
4. 過去のscriptファイルを削除する
   rm -f /.swatch_script.*
   （ミスタイプに注意して実行してください）
5. swatchをPASTEのconfig画面で起動する
   （もしくは、「systemctl start swatch」を実行する

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

ダウンロード：
syslog_integration-1.5.1-20160920.tgz

利便性向上とバグフィックスを含むメンテナンスリリースです。
次の点が変更されました。

1. Palo altoのPAシリーズとの連携の設定例において、連携に使用する時刻の値を、「Receive Time」に変更
2. swatch設定部分において、Palo altoのPAシリーズとの連携の設定例をいくつか追加
3. swatch設定閲覧機能利用時の画面幅を従来より拡張（横に長い設定を見やすく変更）
4. swatch設定変更機能利用時の画面幅を従来より拡張（横に長い設定を実施しやすく変更）
5. 数万件以上などの多くの対象データがある場合に一覧が正しく表示できなくなる問題の修正
6. SYSLOG受信文字列に"（ダブルクオーテーション）を含むときに正しく画面上で参照できない問題の修正

現時点のswatchの設定例は、次のようなものとなっています。

# logfile /var/log/local0.txt

# paloalto PA, THREAT, threshold by src,dst
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

# paloalto PA, THREAT, threshold by src,dst,threat-name,severity(info,low)
#watchfor /THREAT,[^,]*,[^,]*,[^,]*,([^,]+),([^,]+),([^,]*,){23,23}([^,]+),[^,]*,(informational|low),/
#        threshold track_by=$1:$2:$4:$5,type=limit,count=1,seconds=60
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

# paloalto PA, THREAT, no threshold for severity(medium,high,critical)
#watchfor /THREAT,([^,]*,){30,30}(medium|high|critical),/
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

# paloalto PA, TRAFFIC end, threshold by src,dst
#watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/
#  threshold track_by=$1:$2,type=limit,count=1,seconds=60
#  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol
#watchfor /TRAFFIC,end,[^,]*,[^,]*,([^,]+),([^,]+),([^,]*,){15,15}([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/
#        threshold track_by=$1:$2:$4:$5:$6,type=limit,count=1,seconds=60
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

不具合の修正を含みますので、ver1.5.0へのversion-upを推奨します。

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

ダウンロード：
syslog_integration-1.5.0-20160816.tgz

swatchの設定例の表記が長いものとなっていたため、読みやすい表記となるように変更しました。
このリリースは、機能的な変更点を含みません。

現時点のswatchの設定例は、次のようなものとなっています。

# logfile /var/log/local0.txt

# paloalto PA, THREAT, threshold by src,dst
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

# paloalto PA, TRAFFIC end, threshold by src,dst
watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol
#watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),([^,]*,){15,15}([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/
#        threshold track_by=$1:$2:$4:$5:$6,type=limit,count=1,seconds=60
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

swatchの設定ファイルの変更のみですので、ver1.4.3を利用されている場合にはversion-upは特に必要ありません。
swatchで5tupleでのthreshold動作をさせる場合には、上記の記述を参考に設定してください。

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

syslog_integration-1.4.4-20160303.tgz

swatchの設定ファイルの中に"#"によるコメントがある場合に、PASTEとして正しく動作するようになりました。
swatchの設定ファイルの"#"によるコメント解釈以外のPASTEとしての動作は、従来と変わりなく使用することができます。

現時点のswatchの設定例は、次のようなものとなっています。

# cat /opt/momentun_client/conf/local0.conf
# logfile /var/log/local0.txt

# paloalto PA, THREAT, threshold by src,dst
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 3" 

# paloalto PA, TRAFFIC end, threshold by src,dst
watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 3" 

## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol
#watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/
#        threshold track_by=$1:$2:$3:$4:$5,type=limit,count=1,seconds=60
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 2" 
# 

細かな変更ですが利便性向上となるものですので、ver1.4.3へのversion-upを推奨します。

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

syslog_integration-1.4.3-20160302.tgz

CLIで利用できる設定内容確認ツール(show_config.pl)の実行結果において、一部の単位表示に問題があり、この問題が修正されました。

[[ pcap cleaner ]]
  clean time    : "3" (day)

[[ disk check ]]
  facility      : "local6" 
  threshold     : "90" (%)

この問題は、CLIの設定内容確認ツール(show_config.pl)のみの単位表示の問題であり、WebUIの設定機能などの他の機能においてはこれまでのバージョンにおいて正常処理されます。

細かな修正ですが不具合の修正となるものですので、ver1.4.2へのversion-upを推奨します。

バージョンアップの方法に関しては、 wiki を参照ください。

syslog_integration-1.4.2-20151215.tgz