Configuration de la publication des événements de l'application dans le système SIEM

Avant de commencer la configuration, assurez-vous d’avoir activé l’exportation des événements au format CEF.

Suivez les instructions ci-dessous sur chaque nœud de cluster à partir duquel vous souhaitez publier des événements sur le système SIEM.

Pour configurer la publication des événements de l’application vers le système SIEM :

1. Connectez-vous à la console de la machine virtuelle ou connectez-vous à distance via SSH à l'aide du compte admin et du mot de passe administrateur de la machine virtuelle spécifiés lors de la configuration initiale de l'application.
2. Dans le menu Select Action, sélectionnez l’option Technical Support Mode.
3. Dans le champ Password, saisissez le mot de passe de l'administrateur de l'interface Web et cliquez sur le bouton Ok.
4. Dans la fenêtre Technical Support Mode, cliquez sur le bouton Yes pour confirmer le passage au mode Technical Support Mode.
5. Indiquez l’adresse et le port de connexion au serveur hébergeant le système SIEM. Pour ce faire, ajoutez les lignes suivantes à la fin du fichier /etc/rsyslog.conf :

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <Catégorie (facility)>.* @@<Adresse IP du système SIEM>:<port sur lequel le système SIEM reçoit les messages de Syslog via le protocole TCP>

   Avant de modifier le contenu du fichier /etc/rsyslog.conf, il est conseillé d’en créer une copie de sauvegarde. Une erreur dans la modification du fichier pourrait provoquer un dysfonctionnement du système.

6. Relancez le service rsyslog. Saisissez pour ce faire la commande :

   service rsyslog restart

La configuration de la publication des événements de l'application dans le système SIEM est terminée.

Haut de page