Configurar la publicación de eventos de la aplicación en un sistema SIEM

Puede configurar la publicación de eventos en formato CEF a un sistema SIEM externo, así como guardar los eventos localmente en archivos de registro en el servidor. Si no necesita guardar eventos a nivel local, puede omitir los pasos 4, 6 y 7 de las instrucciones de esta sección.

Siga los pasos a continuación en cada nodo de clúster cuyos eventos desee publicar en un sistema SIEM. Active la exportación de eventos en formato CEF solo después de configurar la publicación de eventos.

Para configurar la publicación de los eventos de la aplicación en un sistema SIEM, realice lo siguiente:

1. Conéctese a la consola de administración de la máquina virtual KSMG en la cuenta raíz usando una clave SSH privada. Entrará en modo de soporte técnico.
2. Cree el archivo /etc/rsyslog.d/ksmg-cef-messages.conf y añádale las siguientes líneas:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

3. Si desea enviar eventos a un sistema SIEM a través de UDP, añada la siguiente línea:

   local2.* @<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de UDP>

   Si desea enviar eventos a través de TCP, agregue la siguiente línea:

   local2.* @<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de TCP>

4. Si desea guardar eventos localmente, añada la siguiente línea al archivo:

   local2.* -/var/log/ksmg-cef-messages

5. Añada la siguiente línea al final del archivo:

   local2.* stop

   Ejemplo de Archivo de configuración para exportar a través de UDP sin guardar en el registro local: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Ejemplo de a archivo de configuración para exportar a través de TCP guardando en el registro local: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

6. Si configuró copias de eventos para que se guarden localmente, cree el archivo de registro /var/log/ksmg-cef-messages y configure sus permisos de acceso. Para hacerlo, ejecute los comandos:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

7. Si configuró copias de eventos para que se guarden localmente, configure las reglas para la rotación de archivos de registro con eventos exportados. Para hacerlo, cree el archivo /etc/logrotate.d/ksmg-cef-messages y añádale las siguientes líneas:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

8. Reinicie el servicio rsyslog. Para hacerlo, ejecute el comando siguiente:

   systemctl restart rsyslog

9. Verifique el estado del servicio rsyslog:

   systemctl status rsyslog

   El estado debe ser running.

10. Envíe un mensaje de prueba al sistema SIEM usando el siguiente comando:

    logger -p local2.info Test message

Se configurará la publicación de los eventos de la aplicación en el sistema SIEM.