Konfigurace publikování událostí aplikace do systému SIEM
23. května 2024
ID 218660
Můžete nakonfigurovat publikování událostí ve formátu CEF do externího systému SIEM a také ukládat události místně do souborů protokolu na serveru. Pokud nepotřebujete ukládat soubory lokálně, můžete přeskočit kroky 4, 6 a 7 pokynů v této části.
U každého uzlu clusteru, jehož události chcete exportovat do systému SIEM, postupujte podle níže uvedených pokynů. Export událostí ve formátu CEF povolte až po konfiguraci publikování události.
Postup konfigurace publikování událostí aplikace do systému SIEM:
- Připojte se ke konzole pro správu virtuálního počítače KSMG pod účtem root pomocí soukromého klíče SSH. Vstoupíte do režimu technické podpory.
- Vytvořte soubor /etc/rsyslog.d/ksmg-cef-messages.conf a přidejte do něj následující řádky:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
- Pokud chcete události posílat do systému SIEM prostřednictvím UDP, přidejte následující řádek:
local2.* @<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes UDP>
Pokud chcete události posílat přes TCP, přidejte následující řádek:
local2.* @<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes TCP>
- Pokud chcete události ukládat místně, přidejte do souboru následující řádek:
local2.* -/var/log/ksmg-cef-messages
- Na konec souboru přidejte následující řádek:
local2.* stop
Ukázkový konfigurační soubor pro export přes UDP bez uložení do místního protokolu:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* stop
Ukázkový konfigurační soubor pro export přes TCP s uložením do místního protokolu:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* -/var/log/ksmg-cef-messages
local2.* stop
- Pokud jste nakonfigurovali kopie událostí, aby se ukládaly místně, vytvořte soubor /var/log/ksmg-cef-messages a nakonfigurujte jeho přístupová oprávnění. Chcete-li tak učinit, spusťte příkazy:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Pokud jste nakonfigurovali kopie událostí, které se mají ukládat místně, nakonfigurujte pravidla pro střídání souborů protokolu s exportovanými událostmi. Chcete-li tak učinit, vytvořte soubor /etc/logrotate.d/ksmg-cef-messages a přidejte do něj následující řádky:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Restartujte službu rsyslog. To provedete následujícím příkazem:
systemctl restart rsyslog
- Zkontrolujte stav služby rsyslog:
systemctl status rsyslog
Stav musí být spuštěn.
- Odešlete testovací zprávu do systému SIEM pomocí následujícího příkazu:
logger -p local2.info Test message
Je nakonfigurováno publikování událostí aplikace do systému SIEM.