Для включения экспорта событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения.
Вы можете сохранять файлы с экспортированными событиями локально на сервере, а также настроить их публикацию во внешнюю SIEM-систему. Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции этого раздела.
Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите экспортировать в формате CEF.
Чтобы настроить экспорт событий в формате CEF:
Вы войдете в режим Technical Support Mode.
siemSettings
укажите одно из следующих значений параметра facility
:Auth
.Authpriv
.Cron
.Daemon
.Ftp
.Lpr
.Mail
.News
.Syslog
.User
.Uucp
.Local0
.Local1
.Local2
.Local3
.Local4
.Local5
.Local6
.Local7
.Рекомендуется указать такую категорию (facility) для syslog, которая не используется другими программами на сервере.
По умолчанию установлено значение local2
.
enabled
равным true
.logLevel
:Error
– экспорт событий, связанных с возникновением ошибок.Info
– экспорт всех событий.Пример:
|
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
на
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages
<категория (facility), выбранная на шаге 2>.* -/var/log/ksmg-cef-messages
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
service rsyslog restart
Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.
Экспорт событий в формате CEF будет настроен.
В начало