Veröffentlichung von Ereignissen der App im SIEM-System konfigurieren

Sie können sowohl die Veröffentlichung von Ereignissen im CEF-Format auf einem externen SIEM-System als auch die Speicherung von Ereignissen in einer lokalen Protokolldateien auf dem Server konfigurieren. Wenn Sie Ereignisse nicht lokal speichern müssen, überspringen Sie die Schritte 5, 7, 8 in diesem Abschnitt.

Befolgen Sie die Schritte zur Konfiguration der Veröffentlichung von Ereignissen an jedem Cluster-Knoten, dessen Ereignisse Sie im SIEM-System veröffentlichen möchten. Erst nach dem Einrichten der Ereignisveröffentlichung sollten Sie den Ereignisexport im CEF-Format aktivieren.

So konfigurieren Sie die Veröffentlichungen von App-Ereignisse im SIEM-System:

  1. Starten Sie die Befehlsschnittstelle des Betriebssystems auf dem Cluster-Knoten, um Befehle mit Superuser-Rechten (Systemadministrator) auszuführen.
  2. Ereignisse werden mithilfe des rsyslog-Dienstes für Systemprotokollierung an ein externes SIEM-System gesendet. Überprüfen Sie mit dem folgenden Befehl, ob der Dienst installiert ist und ausgeführt wird:

    systemctl status rsyslog

    Der Status des Dienstes muss running lauten.

    Wenn der rsyslog-Dienst nicht ausgeführt wird oder fehlt, installieren und aktivieren Sie den rsyslog-Dienst gemäß der Dokumentation Ihres Betriebssystems.

  3. Erstellen Sie eine Datei "/etc/rsyslog.d/ksmg-cef-messages.conf" und fügen Sie die folgenden Zeilen hinzu:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  4. Wenn Sie Ereignisse per UDP-Protokoll an das SIEM-System übertragen möchten, fügen Sie die folgende Zeile hinzu:

    <Kategorie (facility) für das CEF-Format>.*@<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das UDP-Protokoll empfängt>

    Wenn Sie Ereignisse per TCP-Protokoll übertragen möchten, fügen Sie die folgende Zeile hinzu:

    <Kategorie (facility) für das CEF-Format>.*@@<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das TCP-Protokoll empfängt>

  5. Wenn Sie Kopien der Ereignisse lokal speichern möchten, fügen Sie der gleichen Datei die folgende Zeile hinzu:

    <Kategorie (facility) für das CEF-Format>.* -/var/log/ksmg-cef-messages

  6. Fügen Sie am Ende der Datei die Zeile hinzu:

    <Kategorie (facility) für CEF-Format>.* stop

    Ein Beispiel für eine Konfigurationsdatei zum Export per UDP-Protokoll ohne Speicherung in einem lokalen Protokoll:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    Ein Beispiel für eine Konfigurationsdatei zum Export per TCP-Protokoll mit Speicherung in einem lokalen Protokoll:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @@10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop
  7. Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, erstellen Sie die Protokolldatei " /var/log/ksmg-cef-messages" und Konfigurieren Sie den Zugriff auf diese. Führen Sie dazu folgende Befehle aus:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  8. Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, konfigurieren Sie Regeln für die Protokoll-Rotation mit exportierten Ereignissen. Erstellen Sie dazu eine Datei "/etc/logrotate.d/ksmg-cef-messages" und fügen Sie ihr die folgenden Zeilen hinzu:

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

      /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

      endscript

    }

  9. Starten Sie den Dienst rsyslog neu. Führen Sie dazu den folgenden Befehl aus:

    systemctl restart rsyslog

  10. Überprüfen Sie den Status des rsyslog-Dienstes mit dem folgenden Befehl:

    systemctl status rsyslog

    Der Status muss running lauten.

  11. Senden Sie mit dem folgenden Befehl eine Testnachricht an das SIEM-System:

    logger -p <Kategorie (facility) für das CEF-Format>.info Testnachricht

Das Veröffentlichen von Ereignissen der App im SIEM-System wird konfiguriert.

Nach oben