Chcete-li povolit export událostí v režimu technické podpory, musíte nejprve do webového rozhraní aplikace nahrát veřejný klíč SSH.
Soubory obsahující exportované události můžete uložit lokálně na server a nakonfigurovat jejich publikování do externího systému SIEM. Pokud nepotřebujete ukládat soubory lokálně, můžete přeskočit kroky 4–7 pokynů v této části.
U každého uzlu clusteru, jehož události chcete exportovat ve formátu CEF, proveďte níže uvedené pokyny.
Postup konfigurace exportu událostí ve formátu CEF:
Vstoupíte do režimu technické podpory.
facility
v části siemSettings
:Auth
Authpriv
Cron
Daemon
FTP
Lpr
Mail
News
Syslog
User
Uucp
Local0
Local1
Local2
Local3
Local4
Local5
Local6
Local7
Doporučuje se pro Syslog zadat kategorii (facility), kterou nepoužívají jiné programy na serveru.
Výchozí hodnota je local2
.
enabled
na true
.logLevel
:Error
– export událostí souvisejících s chybami.Info
– export všech událostí.Příklad:
|
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
na
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<kategorie (facility) vybraná v kroku 2>.none /var/log/messages
<kategorie (facility) vybraná v kroku 2>.* -/var/log/ksmg-cef-messages
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
service rsyslog restart
To je nezbytné pro synchronizaci parametrů mezi uzly clusteru a pro použití změn, které byly provedeny v konfiguračním souboru. Poté můžete obnovit původní hodnotu upraveného parametru.
Export událostí ve formátu CEF je nyní nakonfigurován.
Na začátek stránky