Настройка Syslog-сервера для отправки событий Nextcloud

Чтобы настроить передачу событий от сервера, на котором установлена программа Nextcloud, в коллектор:

1. В каталоге /etc/rsyslog.d/ создайте файл Nextcloud-to-siem.conf со следующим содержанием:

   If $programname contains 'Nextcloud' then @<IP-адрес коллектора>:<порт коллектора>

   Пример: If $programname contains 'Nextcloud' then @192.168.1.5:1514

   Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

   If $programname contains 'Nextcloud' then @@<IP-адрес коллектора>:<порт коллектора>

2. Сохраните изменения в конфигурационном файле Nextcloud-to-siem.conf .
3. Создайте резервную копию файла /etc/rsyslog.conf.
4. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

   $IncludeConfig /etc/Nextcloud-to-siem.conf

   $RepeatedMsgReduction off

5. Сохраните внесённые изменения.
6. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service

Передача событий Nextcloud в коллектор будет настроена.

В начало