Veröffentlichung von Ereignissen der Anwendung im SIEM-System konfigurieren
10. Juli 2024
ID 218660
Sie können die Veröffentlichung von Ereignissen im CEF-Format auf einem externen SIEM-System konfigurieren und diese auch lokal in Protokolldateien auf dem Server speichern. Wenn Sie Ereignisse nicht lokal speichern müssen, überspringen Sie die Schritte 4, 6, 7 in diesem Abschnitt.
Befolgen Sie die Schritte zur Konfiguration der Veröffentlichung von Ereignissen an jedem Cluster-Knoten, dessen Ereignisse Sie im SIEM-System veröffentlichen möchten. Erst nach dem Einrichten der Ereignisveröffentlichung sollten Sie den Ereignisexport im CEF-Format aktivieren.
So konfigurieren Sie die Veröffentlichungen von Anwendungsereignisse im SIEM-System:
- Verbinden Sie sich mit der Steuerkonsole der virtuellen Maschine KSMG unter dem Anmeldenamen root und benutzen Sie dabei den privaten SSH-Schlüssel. Sie wechseln in den Technical Support Mode.
- Erstellen Sie eine Datei "/etc/rsyslog.d/ksmg-cef-messages.conf" und fügen Sie die folgenden Zeilen hinzu:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
- Wenn Sie Ereignisse per UDP-Protokoll an das SIEM-System übertragen möchten, fügen Sie die folgende Zeile hinzu:
local2.* @<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das UDP-Protokoll empfängt>
Wenn Sie Ereignisse per TCP-Protokoll übertragen möchten, fügen Sie die folgende Zeile hinzu:
local2.* @<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das TCP-Protokoll empfängt>
- Wenn Sie Ereignisse lokal speichern möchten, fügen Sie der Datei die folgende Zeile hinzu:
local2.* -/var/log/ksmg-cef-messages
- Fügen Sie am Ende der Datei die Zeile hinzu:
local2.* stop
Ein Beispiel für eine Konfigurationsdatei zum Export per UDP-Protokoll ohne Speicherung in einem lokalen Protokoll:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* stop
Ein Beispiel für eine Konfigurationsdatei zum Export per TCP-Protokoll mit Speicherung in einem lokalen Protokoll:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* -/var/log/ksmg-cef-messages
local2.* stop
- Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, erstellen Sie die Protokolldatei "/var/log/ksmg-cef-messages" und Konfigurieren Sie den Zugriff auf diese. Führen Sie dazu folgende Befehle aus:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, konfigurieren Sie Regeln für die Protokoll-Rotation mit exportierten Ereignissen. Erstellen Sie dazu eine Datei "/etc/logrotate.d/ksmg-cef-messages" und fügen Sie ihr die folgenden Zeilen hinzu:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Starten Sie den Dienst rsyslog neu. Führen Sie dazu den folgenden Befehl aus:
systemctl restart rsyslog
- Überprüfen Sie den Status des Dienstes "rsyslog":
systemctl status rsyslog
Der Status muss running lauten.
- Senden Sie mit dem folgenden Befehl eine Testnachricht an das SIEM-System:
logger -p local2.info Test message
Das Veröffentlichen von Ereignissen der Anwendung im SIEM-System wird konfiguriert.