Konfigurace publikování událostí aplikace do systému SIEM

Můžete nakonfigurovat publikování událostí ve formátu CEF do externího systému SIEM a také ukládat události místně do souborů protokolu na serveru. Pokud nepotřebujete ukládat soubory lokálně, můžete přeskočit kroky 4, 6 a 7 pokynů v této části.

U každého uzlu clusteru, jehož události chcete exportovat do systému SIEM, postupujte podle níže uvedených pokynů. Export událostí ve formátu CEF povolte až po konfiguraci publikování události.

Postup konfigurace publikování událostí aplikace do systému SIEM:

1. Připojte se ke konzole pro správu virtuálního počítače KSMG pod účtem root pomocí soukromého klíče SSH. Vstoupíte do režimu technické podpory.
2. Vytvořte soubor /etc/rsyslog.d/ksmg-cef-messages.conf a přidejte do něj následující řádky:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

3. Pokud chcete události posílat do systému SIEM prostřednictvím UDP, přidejte následující řádek:

   local2.* @<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes UDP>

   Pokud chcete události posílat přes TCP, přidejte následující řádek:

   local2.* @<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes TCP>

4. Pokud chcete události ukládat místně, přidejte do souboru následující řádek:

   local2.* -/var/log/ksmg-cef-messages

5. Na konec souboru přidejte následující řádek:

   local2.* stop

   Ukázkový konfigurační soubor pro export přes UDP bez uložení do místního protokolu: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Ukázkový konfigurační soubor pro export přes TCP s uložením do místního protokolu: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

6. Pokud jste nakonfigurovali kopie událostí, aby se ukládaly místně, vytvořte soubor /var/log/ksmg-cef-messages a nakonfigurujte jeho přístupová oprávnění. Chcete-li tak učinit, spusťte příkazy:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

7. Pokud jste nakonfigurovali kopie událostí, které se mají ukládat místně, nakonfigurujte pravidla pro střídání souborů protokolu s exportovanými událostmi. Chcete-li tak učinit, vytvořte soubor /etc/logrotate.d/ksmg-cef-messages a přidejte do něj následující řádky:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

8. Restartujte službu rsyslog. To provedete následujícím příkazem:

   systemctl restart rsyslog

9. Zkontrolujte stav služby rsyslog:

   systemctl status rsyslog

   Stav musí být spuštěn.

10. Odešlete testovací zprávu do systému SIEM pomocí následujícího příkazu:

    logger -p local2.info Test message

Je nakonfigurováno publikování událostí aplikace do systému SIEM.