Configurar la publicación de eventos de la aplicación en un sistema SIEM

Puede configurar la publicación de eventos en formato CEF a un sistema SIEM externo, y guardar los eventos localmente en archivos de registro en el servidor. El procedimiento de configuración de publicación de eventos para KSMG en Astra Linux Special Edition es diferente del procedimiento para configurar KSMG en otros sistemas operativos.

Siga los pasos a continuación en cada nodo de clúster cuyos eventos desee publicar en un sistema SIEM. Active la exportación de eventos en formato CEF solo después de configurar la publicación de eventos.

Configurar la exportación de eventos de la aplicación en Rocky Linux, Ubuntu, Red Hat Enterprise Linux, Debian y RED OS

Los eventos se envían a un sistema SIEM externo mediante el servicio de registro del sistema rsyslog. Si no necesita guardar los archivos a nivel local, puede omitir los pasos 5, 7 y 8 de las instrucciones de esta sección.

Para configurar la publicación de los eventos de la aplicación en un sistema SIEM, realice lo siguiente:

  1. Inicie un shell de comandos del sistema operativo en el nodo de clúster para ejecutar comandos con permisos de superusuario (administrador del sistema).
  2. Para constatar que el servicio rsyslog esté instalado y en ejecución use el comando:

    systemctl status rsyslog

    El estado del servicio debe se en ejecución.

    Si el servicio rsyslog no se está ejecutando o no está instalado, instálelo y ejecútelo de acuerdo con las instrucciones de la documentación de su sistema operativo.

  3. Cree el archivo /etc/rsyslog.d/ksmg-cef-messages.conf y añádale las siguientes líneas:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  4. Si desea enviar eventos a un sistema SIEM a través de UDP, añada la siguiente línea:

    <categoría (facility) para el formato CEF>.* @<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de UDP>

    Si desea enviar eventos a través de TCP, agregue la siguiente línea:

    <categoría (facility) para el formato CEF>.* @<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de TCP>

  5. Si desea guardar copias de eventos localmente, añada la siguiente línea al mismo archivo:

    <facility para el formato CEF>.* -/var/log/ksmg-cef-messages

  6. Añada la siguiente línea al final del archivo:

    <instalación para el formato CEF>.* stop

    Ejemplo de Archivo de configuración para exportar a través de UDP sin guardar en el registro local:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    Ejemplo de a archivo de configuración para exportar a través de TCP guardando en el registro local:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop
  7. Si configuró copias de eventos para que se guarden localmente, cree el archivo de registro /var/log/ksmg-cef-messages y configure sus permisos de acceso. Para hacerlo, ejecute los comandos:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  8. Si configuró copias de eventos para que se guarden localmente, configure las reglas para la rotación de archivos de registro con eventos exportados. Para hacerlo, cree el archivo /etc/logrotate.d/ksmg-cef-messages y añádale las siguientes líneas:

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

      endscript

    }

  9. Reinicie el servicio rsyslog. Para hacerlo, ejecute el comando siguiente:

    systemctl restart rsyslog

  10. Verifique el estado del servicio rsyslog:

    systemctl status rsyslog

    El estado debe ser running.

  11. Envíe un mensaje de prueba al sistema SIEM usando el siguiente comando:

    logger -p <categoría (facility) para el formato CEF>.info Mensaje de prueba

Se configurará la publicación de los eventos de la aplicación en el sistema SIEM.

Configuración de la publicación de eventos de la aplicación en Astra Linux Special Edition

Los eventos se envían a un sistema SIEM externo mediante el servicio de registro del sistema syslog-ng. Si no necesita guardar los archivos a nivel local, puede omitir los pasos 5 a 7 de las instrucciones de esta sección.

Para configurar la publicación de los eventos de la aplicación en un sistema SIEM, realice lo siguiente:

  1. Inicie un shell de comandos del sistema operativo en el nodo de clúster para ejecutar comandos con permisos de superusuario (administrador del sistema).
  2. Para constatar que el servicio syslog-ng esté instalado y en ejecución use el comando:

    systemctl status syslog-ng

    El estado del servicio debe se en ejecución.

    Si el servicio rsyslog-ng no se está ejecutando o no está instalado, instálelo y ejecútelo de acuerdo con las instrucciones de la documentación de su sistema operativo.

  3. Cree el archivo /etc/syslog.ng/ksmg-cef-messages.conf y añádale la siguiente línea:

    filter f_ksmgcef { facility(<facility for the CEF format>); };

  4. Si desea enviar eventos a un sistema SIEM a través de UDP, añada las siguientes líneas al archivo:

    destination d_ksmgcef_forward { network("<dirección IP del sistema SIEM>" transport("udp") port(<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de TCP>)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    Si desea enviar eventos a través de TCP, añada la siguiente línea:

    destination d_ksmgcef_forward { network("<dirección IP del sistema SIEM>" transport("tcp") port(<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de UDP>)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

  5. Si desea guardar copias de eventos localmente, añada las siguientes líneas al mismo archivo:

    destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

    Ejemplo de Archivo de configuración para exportar a través de UDP sin guardar en el registro local:

    filter f_ksmgcef { facility(local2); };

    destination d_ksmgcef_forward { network("10.16.32.64" transport("udp") port(514)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    Ejemplo de a archivo de configuración para exportar a través de TCP guardando en el registro local:

    filter f_ksmgcef { facility(local2); };

    destination d_ksmgcef_forward { network("10.16.32.64" transport("tcp") port(514)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

  6. Si configuró copias de eventos para que se guarden localmente, cree el archivo de registro /var/log/ksmg-cef-messages y configure sus permisos de acceso. Para hacerlo, ejecute los comandos:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  7. Si configuró copias de eventos para que se guarden localmente, configure las reglas para la rotación de archivos de registro con eventos exportados. Para hacerlo, cree el archivo /etc/logrotate.d/ksmg-cef-messages y añádale las siguientes líneas:

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

        invoke-rc.d syslog-ng reload > /dev/null

      endscript

    }

  8. Reinicie el servicio syslog-ng. Para hacerlo, ejecute el comando siguiente:

    systemctl restart rsyslog

  9. Verifique el estado del servicio syslog-ng:

    systemctl status rsyslog

    El estado del servicio debe ser "en ejecución".

  10. Envíe un mensaje de prueba al sistema SIEM usando el siguiente comando:

    logger -p <categoría (facility) para el formato CEF>.info Mensaje de prueba

Se configurará la publicación de los eventos de la aplicación en el sistema SIEM.

Inicio de página