Configuration de la publication des événements de l'application dans le système SIEM

Vous pouvez configurer la publication des événements au format CEF sur un système SIEM externe, et également les enregistrer localement dans des fichiers journaux sur le serveur. Si vous n'avez pas besoin d'enregistrer les événements localement, ignorez les étapes 4, 6 et 7 de cette section.

Suivez les étapes pour configurer la publication des événements sur chaque nœud du cluster à partir duquel vous souhaitez publier des événements sur le système SIEM. Ce n'est qu'après avoir configuré la publication d'événements que vous devez activer l'exportation d'événements au format CEF.

Pour configurer la publication des événements de l'application dans le système SIEM :

  1. Connectez-vous à la Console d'administration de la machine virtuelle KSMG sous le compte root en utilisant une clé privée SSH. Vous passerez en mode Technical Support Mode.
  2. Créez un fichier /etc/rsyslog.d/ksmg-cef-messages.conf et ajoutez-y les lignes suivantes :

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  3. Si vous souhaitez transmettre des événements au système SIEM via UDP, ajoutez la ligne :

    local2.* @<adresse IP du système SIEM>:<port sur lequel le port SIEM reçoit les messages de Syslog via le protocole TCP>

    Si vous souhaitez envoyer des événements via TCP, ajoutez la ligne :

    local2.* @<Adresse<adresse IP du système SIEM>:<port sur lequel le port SIEM reçoit les messages de Syslog via le protocole TCP>

  4. Si vous souhaitez enregistrer les événements localement, ajoutez la ligne suivante au fichier :

    local2.* -/var/log/ksmg-cef-messages

  5. À la fin du fichier, ajoutez la ligne :

    local2.* stop

    Un exemple de fichier de configuration à exporter via UDP sans enregistrer dans un journal local :

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    Un exemple de fichier de configuration à exporter via le protocole TCP avec sauvegarde dans un journal local :

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop

  6. Si vous avez configuré l'enregistrement local des copies des événements, créez un fichier journal /var/log/ksmg-cef-messages et configurez ses privilèges d'accès. Pour ce faire, exécutez les commandes :

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  7. Si vous avez configuré l'enregistrement local des copies des événements, configurez les règles de rotation des fichiers journaux avec les événements exportés. Pour cela, créez un fichier /etc/logrotate.d/ksmg-cef-messages et ajoutez-y les lignes suivantes :

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

      /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

      endscript

    }

  8. Relancez le service rsyslog. Pour ce faire, exécutez la commande :

    systemctl restart rsyslog

  9. Vérifiez l'état du service rsyslog :

    systemctl status rsyslog

    L'état doit être running.

  10. Envoyez un message de test au système SIEM à l'aide de la commande :

    logger -p local2.info Test message

La publication des événements de l'application dans le système SIEM sera configurée.

Haut de page