Für die Konfiguration der Veröffentlichung von Ereignissen im Modus Technical Support Mode muss im Vorfeld in der Webschnittstelle der App der öffentliche SSH-Schlüssel hochgeladen werden.
Vor Beginn der Konfiguration vergewissern Sie sich, dass Sie den Export von Ereignissen im Format CEF aktiviert haben.
Befolgen Sie die Anweisungen weiter unten an jedem Cluster-Knoten, dessen Ereignisse Sie im SIEM-System veröffentlichen möchten.
So konfigurieren Sie die Veröffentlichungen von App-Ereignisse im SIEM-System:
Sie wechseln in den Modus Technical Support Mode.
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<Kategorie (facility)>.*@@<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das TCP-Protokoll empfängt>
Es wird empfohlen, vor der Eintragung von Änderungen in die Datei /etc/rsyslog.conf eine Reservekopie dieser Datei zu erstellen. Ein Fehler bei der Bearbeitung der Datei kann zu eine nicht korrekte Systemausführung nach sich ziehen.
service rsyslog restart
Das Veröffentlichen von Ereignissen der App im SIEM-System wird konfiguriert.
Nach oben