--- title: Lab Meeting Minutes 2024/03/27 tags: lab_meeting --- > Outline > [TOC] --- # PERAL Lab Meeting - 時間:113 年 3 月 27 日 17:00 - 地點:線上 - 線上會議連結 : [Online](https://meet.google.com/zfi-zmnc-qfw) - 出席者:吳坤熹老師、謝萬霖、劉怡君、田蕙瑜、沈家正、梁宇騰、劉冠伶、繆亭霄、蘇翊荃、陳嘉璐、陳品妤、陳姿綾、陳姿澖 - 會議主題:[Syslog Server](https://docs.google.com/presentation/d/1Igl3jq0brDom7KKhDkwONbhltYhmdtB2OGjt6EOahFM/edit?usp=sharing) - 主講者: 劉冠伶 - 主記: 田蕙瑜 ## 會議內容 ### RFC 3164 The BSD syslog Protocol * Terms - deviece - a machine that can generate a message - replay - forwarding message - collector/syslog server * RFC 3164 建議隻封包格式 * ![image](https://hackmd.io/_uploads/SJLPGvbkA.png) * Packet Format and Contents - PRI * PRI 可被計算 by Priority value = 8 * Facility + Severity * e.g. a “**local use 4**” with a Serverity of **Notice** would have a Priority value of 165. * local use 4 == 20 * Notice 5 * PRI = 20 * 8 + 5 = 165 * Relayed Syslog Packets > 此版本 Relay 會去修改封包 * 若封包有 PRI 無 TIMESTAMP * 則 replay 在TIMESTAMP 加上 local time of the relay * 若封包無 PRI * 則 replay 會將 PRI 修正為 13 ### RFC 5424 The Syslog Protocol > * This document describes a layered architecture for syslog > * 建議使用 TLS 傳送 * Syslog Message Format > ![image](https://hackmd.io/_uploads/S1xoHD-yA.png) * Header * TIMESTAMP * 參考 RFC 3339 * 若 syslog 抓不到時間,可使用 NILVALUE 作為 TIMESTAMP * HOSTNAME * 填寫優先順序: FQDN -> Static IP address -> hostname -> Dynamic IP address -> NILVALUE * structured-data * ![image](https://hackmd.io/_uploads/rkHePPW1C.png) * MSG * Example * ![image](https://hackmd.io/_uploads/B1mrPPZkC.png) --- ### 建議&問題 1. [name=Selena] p.12 第3點 relay ip(10.0.0.99) 不會蓋掉 source ip 嗎? Ans: [name=] 若已有src IP addr的不會蓋掉。缺src IP addr才會補上Relay 的IP位址。至少可找到中繼點 2. [name=Selena] p.25 relay 不改封包,那他有甚麼功能? Ans: [name=] forwarding packets 3. [name=Louise] Why relay? Ans: [name=] Maybe 分擔流量。 4. [name=Louise] p.25 在 RFC 3164 中,封包有缺漏還可以修正嗎? Ans: [name=] 若直接送到 Collector ,不會修正。 5. [name=Louise] p.23 甚麼清況會沒有 MSG? 例如第四點 Ans: [name=] 待補充 6. [name=Yukino] p.21 What is the meaning of data in strcuted-data? Ans: [name=] 7. [name=Yu] p.25 RFC5424 可指定時區,而RFC3164不能指定,那他使用哪個時區? Ans: [name=] 抓 local time,因此若每台機器位於不同時區,timestamp看起來就不是依序排好。 8. [name=Ryan] system log 必須架一個 server 才能傳? 全部的主機只需要一台 syslog 嗎? syslog 會有 acknowledge 嗎? Ans: [name=] 9. [name=Ellie] RFC 5424 是現在較常用的嗎? Ans: [name=] RFC 3164, 5424 都有用 10. [name=Ellie] syslog server 會不會 overhead 很大,必須單獨一台,不會和其他服務一起跑? Ans: [name=] 待補 11. [name=August] p.6 why 1024 bytes? Ans: [name=] 待補。感覺跟UDP的上限有關。 12. [name=Solomon] UDP 上限是多少? Ans: [name=August] MTU 1500 bytes, 因此 p.6 設置在 2 的次方數內最接近1500的1024 13. [name=August] p.18 Z meaning? Ans: [name=Phoebe] Z means 與標準時間 UTC 無差 (zero)。T 只是用來分隔日期與時間,沒有特殊意義。 14. [name=August] 若時區在台灣,寫作+08:00嗎? Ans: Yes. For example, "1937-01-01T12:00:27.87+00:20" 15. [name=August] p.21 structured-data 有什麼好處? Ans: [name=] 可用來多放一些訊息,可參考 RFC 5424 第7章 16. [name=August] p.25 錯字 「轉傳」 17. [name=Miller] p.19 hostname 為空,什麼時候會發生? Ans: [name=] 但參考 p.12,因封包 Parser or wireshark 18. [name=Cooper] 若我的 hostname 使用 UTF-8,在 syslog 使用 ASCII 的情況下會發生什麼事? Ans: [name=] 待補充,我會去找hostname 命名方式的相關 RFC 19. [name=Cooper] msg 太長會截斷,client 會後發一則訊息還是丟掉 Ans: [name=] 丟掉 20. [name=Cooper] 若client知道訊息最大限是1024,那有什麼方法可以發出讓超過1024的完整訊息 Ans: [name=] 這是有趣的問題。 21. [name=Phoebe] 你有架過 syslog server嗎? Ans: [name=]有在 VM 上跑過,未手動架設過。 [name=Phoebe] 很久之前有用 rsyslog 架設過 syslog server,這邊有 [SOP](https://hackmd.io/r9A9nMFvSOKBG3Mzic1ZoQ?view#SOP) 可以參考看看,如果有不完整的部分可以找我討論XD 22. [name=Phoebe] p.11 RPI => PRI. 另外你完整的句子開頭卻小寫;應改成大寫。 Ans: [name=] 23. [name=Angela] 如果現在大部分是使用 RFC 3164,你自己建的話會用 RPC 3164還是RFC 5424? Ans: [name=] 先建RFC 3164,成功再建RFC 5424 24. [name=Edgar] RFC5424 有多個欄位接放NULL, 那接收端會如何? 要如何記錄是誰的東西? Ans: 程式會收下來,但毫無訊息量。 25. [name=Edgar] RFC3164 中有三個段落描寫到 MSG 大小必< 1k,大於 1K 會發生問題並造成攻擊,請問是怎麼樣的攻擊手法? 26. p.11 PRI 為什麼要設成 13? 請加以說明,否則不會有太大的印象[name=Solomon] Ans: User-level (8) + NOTICE (5) = 13。[name=Ashley] 27. 注意發音: facility KK[fəˋsɪlətɪ] ; severity KK[səˋvɛrətɪ][name=Solomon] ## 待追蹤事項 1. [name=Louise] 埔基計畫的錢,會在把金額和需匯錢人員等資訊放到臉書發文公告. 因為大智學長沒來開會,若今天直接在會議上宣佈,他就沒收到訊息。 ## 臨時動議 1. 下周4/3會議暫停 --- 散會結束時間: 18:17