イベントを CEF 形式で外部 SIEM システムに公開するように設定したり、イベントをサーバー上のログファイルにローカルに保存したりできます。イベントをローカルに保存する必要がない場合は、このセクションの手順の 4、6、7 をスキップします。
SIEM システムにイベントを公開する各クラスタノードで、以下の手順を実行します。CEF 形式でのイベントのエクスポートを有効にするのは、イベント公開の設定後にのみ行ってください。
SIEM システムへの製品イベントの公開を設定するには:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @<SIEM システムの IP アドレス>:<UDP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>
TCP を使用してイベントを送信する場合は、次の行を追加します:
local2.* @<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>
local2.* -/var/log/ksmg-cef-messages
local2.* stop
ローカルのログに保存せずに UDP を使用してエクスポートするための設定情報ファイルの例: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop ローカルログに保存して TCP を使用してエクスポートするための設定情報ファイルの例: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop |
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
systemctl restart rsyslog
systemctl status rsyslog
ステータスは running である必要があります。
logger -p local2.info Test message
SIEM システムへの製品イベントの公開が設定されます。
ページのトップに戻る