Veröffentlichung von Ereignissen der Anwendung im SIEM-System konfigurieren

Sie können die Veröffentlichung von Ereignissen im CEF-Format auf einem externen SIEM-System konfigurieren und diese auch lokal in Protokolldateien auf dem Server speichern. Wenn Sie Ereignisse nicht lokal speichern müssen, überspringen Sie die Schritte 4, 6, 7 in diesem Abschnitt.

Befolgen Sie die Schritte zur Konfiguration der Veröffentlichung von Ereignissen an jedem Cluster-Knoten, dessen Ereignisse Sie im SIEM-System veröffentlichen möchten. Erst nach dem Einrichten der Ereignisveröffentlichung sollten Sie den Ereignisexport im CEF-Format aktivieren.

So konfigurieren Sie die Veröffentlichungen von Anwendungsereignisse im SIEM-System:

1. Verbinden Sie sich mit der Steuerkonsole der virtuellen Maschine KSMG unter dem Anmeldenamen root und benutzen Sie dabei den privaten SSH-Schlüssel. Sie wechseln in den Technical Support Mode.
2. Erstellen Sie eine Datei "/etc/rsyslog.d/ksmg-cef-messages.conf" und fügen Sie die folgenden Zeilen hinzu:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

3. Wenn Sie Ereignisse per UDP-Protokoll an das SIEM-System übertragen möchten, fügen Sie die folgende Zeile hinzu:

   local2.* @<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das UDP-Protokoll empfängt>

   Wenn Sie Ereignisse per TCP-Protokoll übertragen möchten, fügen Sie die folgende Zeile hinzu:

   local2.* @<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das TCP-Protokoll empfängt>

4. Wenn Sie Ereignisse lokal speichern möchten, fügen Sie der Datei die folgende Zeile hinzu:

   local2.* -/var/log/ksmg-cef-messages

5. Fügen Sie am Ende der Datei die Zeile hinzu:

   local2.* stop

   Ein Beispiel für eine Konfigurationsdatei zum Export per UDP-Protokoll ohne Speicherung in einem lokalen Protokoll: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Ein Beispiel für eine Konfigurationsdatei zum Export per TCP-Protokoll mit Speicherung in einem lokalen Protokoll: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

6. Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, erstellen Sie die Protokolldatei "/var/log/ksmg-cef-messages" und Konfigurieren Sie den Zugriff auf diese. Führen Sie dazu folgende Befehle aus:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

7. Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, konfigurieren Sie Regeln für die Protokoll-Rotation mit exportierten Ereignissen. Erstellen Sie dazu eine Datei "/etc/logrotate.d/ksmg-cef-messages" und fügen Sie ihr die folgenden Zeilen hinzu:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

8. Starten Sie den Dienst rsyslog neu. Führen Sie dazu den folgenden Befehl aus:

   systemctl restart rsyslog

9. Überprüfen Sie den Status des Dienstes "rsyslog":

   systemctl status rsyslog

   Der Status muss running lauten.

10. Senden Sie mit dem folgenden Befehl eine Testnachricht an das SIEM-System:

    logger -p local2.info Test message

Das Veröffentlichen von Ereignissen der Anwendung im SIEM-System wird konfiguriert.