Настройка публикации событий приложения в SIEM-систему

Перед началом настройки убедитесь, что вы включили экспорт событий в формате CEF.

Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите публиковать в SIEM-систему.

Чтобы настроить публикацию событий приложения в SIEM-систему:

1. Войдите в консоль виртуальной машины или подключитесь удаленно по протоколу SSH под учетной записью admin и с паролем администратора виртуальной машины, заданным при первоначальной настройке программы.
2. В меню Select Action выберите пункт Technical Support Mode.
3. В поле Password введите пароль администратора веб-интерфейса и нажмите на кнопку Ok.
4. В окне Technical Support Mode нажмите на кнопку Yes, чтобы подтвердить переход в режим Technical Support Mode.
5. Укажите адрес и порт подключения к серверу с SIEM-системой. Для этого добавьте в конец файла /etc/rsyslog.conf следующие строки:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <категория (facility)>.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>

   Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.

6. Перезапустите службу rsyslog. Для этого выполните команду:

   service rsyslog restart

Публикация событий приложения в SIEM-систему будет настроена.

В начало