Configuration de la publication des événements de l'application dans le système SIEM

Vous pouvez configurer la publication des événements au format CEF sur un système SIEM externe, et également les enregistrer localement dans des fichiers journaux sur le serveur. Si vous n'avez pas besoin d'enregistrer les événements localement, ignorez les étapes 4, 6 et 7 de cette section.

Suivez les étapes pour configurer la publication des événements sur chaque nœud du cluster à partir duquel vous souhaitez publier des événements sur le système SIEM. Ce n'est qu'après avoir configuré la publication d'événements que vous devez activer l'exportation d'événements au format CEF.

Pour configurer la publication des événements de l'application dans le système SIEM :

1. Connectez-vous à la Console d'administration de la machine virtuelle KSMG sous le compte root en utilisant une clé privée SSH. Vous passerez en mode Technical Support Mode.
2. Créez un fichier /etc/rsyslog.d/ksmg-cef-messages.conf et ajoutez-y les lignes suivantes :

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

3. Si vous souhaitez transmettre des événements au système SIEM via UDP, ajoutez la ligne :

   local2.* @<adresse IP du système SIEM>:<port sur lequel le port SIEM reçoit les messages de Syslog via le protocole TCP>

   Si vous souhaitez envoyer des événements via TCP, ajoutez la ligne :

   local2.* @<Adresse<adresse IP du système SIEM>:<port sur lequel le port SIEM reçoit les messages de Syslog via le protocole TCP>

4. Si vous souhaitez enregistrer les événements localement, ajoutez la ligne suivante au fichier :

   local2.* -/var/log/ksmg-cef-messages

5. À la fin du fichier, ajoutez la ligne :

   local2.* stop

   Un exemple de fichier de configuration à exporter via UDP sans enregistrer dans un journal local : $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Un exemple de fichier de configuration à exporter via le protocole TCP avec sauvegarde dans un journal local : $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

6. Si vous avez configuré l'enregistrement local des copies des événements, créez un fichier journal /var/log/ksmg-cef-messages et configurez ses privilèges d'accès. Pour ce faire, exécutez les commandes :

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

7. Si vous avez configuré l'enregistrement local des copies des événements, configurez les règles de rotation des fichiers journaux avec les événements exportés. Pour cela, créez un fichier /etc/logrotate.d/ksmg-cef-messages et ajoutez-y les lignes suivantes :

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

8. Relancez le service rsyslog. Pour ce faire, exécutez la commande :

   systemctl restart rsyslog

9. Vérifiez l'état du service rsyslog :

   systemctl status rsyslog

   L'état doit être running.

10. Envoyez un message de test au système SIEM à l'aide de la commande :

    logger -p local2.info Test message

La publication des événements de l'application dans le système SIEM sera configurée.