Configurar la publicación de eventos de la aplicación en un sistema SIEM
23 de mayo de 2024
ID 218660
Puede configurar la publicación de eventos en formato CEF a un sistema SIEM externo, así como guardar los eventos localmente en archivos de registro en el servidor. Si no necesita guardar eventos a nivel local, puede omitir los pasos 4, 6 y 7 de las instrucciones de esta sección.
Siga los pasos a continuación en cada nodo de clúster cuyos eventos desee publicar en un sistema SIEM. Active la exportación de eventos en formato CEF solo después de configurar la publicación de eventos.
Para configurar la publicación de los eventos de la aplicación en un sistema SIEM, realice lo siguiente:
- Conéctese a la consola de administración de la máquina virtual KSMG en la cuenta raíz usando una clave SSH privada. Entrará en modo de soporte técnico.
- Cree el archivo /etc/rsyslog.d/ksmg-cef-messages.conf y añádale las siguientes líneas:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
- Si desea enviar eventos a un sistema SIEM a través de UDP, añada la siguiente línea:
local2.* @<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de UDP>
Si desea enviar eventos a través de TCP, agregue la siguiente línea:
local2.* @<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de TCP>
- Si desea guardar eventos localmente, añada la siguiente línea al archivo:
local2.* -/var/log/ksmg-cef-messages
- Añada la siguiente línea al final del archivo:
local2.* stop
Ejemplo de Archivo de configuración para exportar a través de UDP sin guardar en el registro local:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* stop
Ejemplo de a archivo de configuración para exportar a través de TCP guardando en el registro local:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* -/var/log/ksmg-cef-messages
local2.* stop
- Si configuró copias de eventos para que se guarden localmente, cree el archivo de registro /var/log/ksmg-cef-messages y configure sus permisos de acceso. Para hacerlo, ejecute los comandos:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Si configuró copias de eventos para que se guarden localmente, configure las reglas para la rotación de archivos de registro con eventos exportados. Para hacerlo, cree el archivo /etc/logrotate.d/ksmg-cef-messages y añádale las siguientes líneas:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Reinicie el servicio rsyslog. Para hacerlo, ejecute el comando siguiente:
systemctl restart rsyslog
- Verifique el estado del servicio rsyslog:
systemctl status rsyslog
El estado debe ser running.
- Envíe un mensaje de prueba al sistema SIEM usando el siguiente comando:
logger -p local2.info Test message
Se configurará la publicación de los eventos de la aplicación en el sistema SIEM.