Veröffentlichung von Ereignissen der App im SIEM-System konfigurieren

Vergewissern Sie sich vor Beginn der Bearbeitung der Einstellungen, dass Sie den Export von Ereignissen im Format CEF aktiviert haben..

Befolgen Sie die Anweisungen weiter unten an jedem Cluster-Knoten, dessen Ereignisse Sie im SIEM-System veröffentlichen möchten.

So konfigurieren Sie die Veröffentlichungen von App-Ereignisse im SIEM-System:

1. Melden Sie sich bei der Konsole der virtuellen Maschine an oder stellen Sie über das SSH-Protokoll unter dem Benutzerkonto admin und mit dem Kennwort des Administrators der virtuellen Maschine, das bei der Erstkonfiguration des Programms festgelegt wurde, eine Remote-Verbindung her.
2. Wählen Sie im Menü Select Action den Punkt Technical Support Mode aus.
3. Geben Sie im Feld Password das Administratorkennwort der Webschnittstelle ein und klicken Sie auf die Schaltfläche Ok.
4. Klicken Sie im Fenster Technical Support Mode auf die Schaltfläche Yes, um den Wechseln in den Modus Technical Support Mode zu bestätigen.
5. Geben Sie die Adresse und den Port für den Anschluss an den Server mit dem SIEM-System an. Fügen Sie zu diesem Zweck am Ende der Datei /etc/rsyslog.conf folgende Zeilen hinzu:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <Kategorie (facility)>.* @@<IP-Adresse des SIEM-Systems>:<Port, an dem das SIEM-System die Nachrichten vom Syslog über das TCP-Protokoll empfängt>

   Es wird empfohlen, vor der Eintragung von Änderungen in die Datei /etc/rsyslog.conf eine Sicherungskopie dieser Datei anzulegen. Ein Fehler bei der Bearbeitung der Datei kann dazu führen, dass das System nicht korrekt funktioniert.

6. Starten Sie den Dienst rsyslog neu. Führen Sie dazu den folgenden Befehl aus:

   service rsyslog restart

Das Veröffentlichen von Ereignissen der App im SIEM-System wird konfiguriert.

Nach oben