Wat is Syslog?
Syslog is een standaardprotocol voor logboekregistratie dat wordt gebruikt om systeem-, applicatie- of netwerklogberichten te versturen naar een centrale logserver.
Het wordt breed toegepast binnen IT- Ên OT-omgevingen voor Monitoring, foutdetectie, auditing en beveiligingsanalyse.
đ§ Hoe werkt Syslog?
- Een apparaat (bijv. server, router, firewall, PLC) genereert een logbericht
- Het bericht wordt verzonden via het Syslog-protocol (UDP 514, soms TCP)
- Een centrale Syslog-server verzamelt, filtert, indexeert en slaat deze berichten op
- Syslog ondersteunt prioriteiten, facility codes en timestamps
đ Typische Syslog-bronnen
| Categorie | Voorbeelden |
|---|---|
| Netwerkapparatuur | Routers, switches, firewalls |
| Servers | Linux, Unix, Windows (via agent) |
| Beveiliging | IDS, IPS, SIEM, EDR, Firewall |
| OT-systemen | PLC, SCADA, RTU met Syslog-ondersteuning |
| Software | Applicaties, webservers, databases |
đ Voorbeeld van een Syslog-bericht
<34>1 2025-07-25T14:23:00Z host01 appname 1234 ID47 - User login failed
| Onderdeel | Betekenis |
|---|---|
<34> | Prioriteit (severity + facility) |
1 | Syslog-versie |
host01 | Hostnaam |
appname | Applicatie of dienstnaam |
1234 | Proces-ID |
User login failed | Berichtinhoud |
đ Beveiligingsfuncties
- Centrale logopslag voorkomt manipulatie op het bronapparaat
- Combineer met SIEM voor correlatie, detectie en alerting
- Gebruik TLS/SSL voor veilige logtransport (RFC 5425)
- Logging van beveiligingsgebeurtenissen is essentieel voor NIS2, ISO 27001, IEC 62443
𧰠Tools en oplossingen
- Syslog-servers: rsyslog, syslog-ng, Graylog, Logstash
- Visualisatie en analyse: Kibana, Grafana, Splunk, ELK-stack
- Integratie met SIEM-oplossingen (bijv. Azure Sentinel, QRadar)
đ Samengevat
Syslog is het standaardprotocol om logberichten op een centrale plek te verzamelen en analyseren. Het is een onmisbare bouwsteen voor beheer, auditing en cyberbeveiliging in zowel IT- als OT-omgevingen.