SIEM システムへの製品イベントの公開の設定

イベントを CEF 形式で外部 SIEMシステムに公開するように設定したり、イベントをサーバー上のログファイルにローカルに保存したりできます。Astra Linux Special Edition 上の KSMG のイベント発行の設定手順は、他のオペレーティングシステム上の KSMG の設定手順とは異なります。

SIEM システムにイベントを公開する各クラスタノードで、以下の手順を実行します。CEF 形式でのイベントのエクスポートを有効にするのは、イベント発行の設定後にのみ行ってください。

Rocky Linux、Ubuntu、Red Hat Enterprise Linux、Debian、RED OS でのアプリケーションイベントのエクスポートの設定

イベントは、rsyslog システムログサービスを使用して外部 SIEM システムに送信されます。イベントをローカルに保存する必要がない場合は、このセクションの手順の 5、7、8 をスキップします。

SIEM システムへの製品イベントの公開を設定するには:

  1. クラスタノードでオペレーティングシステムのコマンドシェルを起動し、スーパーユーザー(システム管理者)権限でコマンドを実行します。
  2. 次のコマンドを使用して、サービスがインストールされて実行されていることを確認します:

    systemctl status rsyslog

    サービスのステータスは「running」である必要があります。

    rsyslog サービスが実行されていない場合、またはインストールされていない場合は、オペレーティングシステムのドキュメントの指示に従って、rsyslog サービスをインストールして有効にします。

  3. ファイル /etc/rsyslog.d/ksmg-cef-messages.conf を作成し、次の行をそれに追加します:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  4. UDP を使用してイベントを SIEM システムに送信する場合は、次の行を追加します:

    <CEF 形式のカテゴリ(facility)>.* @<SIEM システムの IP アドレス>:<UDP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>

    TCP を使用してイベントを送信する場合は、次の行を追加します:

    <CEF 形式のカテゴリ(facility)>.* @<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>

  5. イベントをローカルにコピーする場合は、同じファイルに次の行を追加します:

    <CEF 形式の facility>.* -/var/log/ksmg-cef-messages

  6. ファイルの末尾に次の行を追加します:

    <CEF 形式の facility>.* stop

    ローカルのログに保存せずに UDP を使用してエクスポートするための設定情報ファイルの例:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    ローカルログに保存して TCP を使用してエクスポートするための設定情報ファイルの例:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop
  7. イベントのコピーをローカルに保存するように設定した場合は、ログファイル /var/log/ksmg-cef-messages を作成し、そのアクセス許可を設定します。この操作には、次のコマンドを実行します:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  8. イベントのコピーをローカルに保存するように設定した場合は、エクスポートされたイベントを含むログファイルのローテーションのルールを設定します。設定するには、ファイル /etc/logrotate.d/ksmg-cef-messages を作成し、次の行をそれに追加します:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    compress

    missingok

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  9. rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:

    systemctl restart rsyslog

  10. nginx サービスのステータスをチェックします:

    systemctl status rsyslog

    ステータスは running である必要があります。

  11. 次のコマンドを使用して、テストメッセージを SIEM システムに送信します:

    logger -p <CEF形式のカテゴリ(facility)>.info Test message

SIEM システムへの製品イベントの公開が設定されます。

Astra Linux Special Edition でのアプリケーションイベント発行の設定

イベントは、syslog-ng システムログサービスを使用して外部 SIEM システムに送信されます。ファイルをローカルに保存する必要がない場合は、このセクションの手順の 5〜7 をスキップしてください。

SIEM システムへの製品イベントの公開を設定するには:

  1. クラスタノードでオペレーティングシステムのコマンドシェルを起動し、スーパーユーザー(システム管理者)権限でコマンドを実行します。
  2. 次のコマンドを使用して、syslog-ng サービスがインストールされて実行されていることを確認します:

    systemctl status syslog-ng

    サービスのステータスは「running」である必要があります。

    syslog-ng サービスが実行されていない場合、またはインストールされていない場合は、オペレーティングシステムのドキュメントの指示に従って、syslog-ng サービスをインストールして有効にします。

  3. ファイル /etc/syslog-ng/conf.d/ksmg-cef-messages.conf を作成し、次の行をそれに追加します:

    filter f_ksmgcef { facility( CEF 形式の facility >); };

  4. UDP を使用してイベントを SIEM システムに送信する場合は、次の行をファイルに追加します:

    destination d_ksmgcef_forward { network("<SIEM システムの IP アドレス>" transport("udp") port(<SIEM システムが Syslog からのメッセージを UDP 経由で受信するために使用するポート>)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    TCP を使用してイベントを送信する場合は、次の行をファイルに追加します:

    destination d_ksmgcef_forward { network("<SIEM システムの IP アドレス>" transport("tcp") port(<SIEM システムが Syslog からのメッセージを TCP 経由で受信するために使用するポート>)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

  5. イベントをローカルにコピーする場合は、同じファイルに次の行を追加します:

    destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

    ローカルのログに保存せずに UDP を使用してエクスポートするための設定情報ファイルの例:

    filter f_ksmgcef { facility(local2); };

    destination d_ksmgcef_forward { network("10.16.32.64" transport("udp") port(514)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    ローカルログに保存して TCP を使用してエクスポートするための設定情報ファイルの例:

    filter f_ksmgcef { facility(local2); };

    destination d_ksmgcef_forward { network("10.16.32.64" transport("tcp") port(514)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

  6. イベントのコピーをローカルに保存するように設定した場合は、ログファイル /var/log/ksmg-cef-messages を作成し、そのアクセス許可を設定します。この操作には、次のコマンドを実行します:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  7. イベントのコピーをローカルに保存するように設定した場合は、エクスポートされたイベントを含むログファイルのローテーションのルールを設定します。設定するには、ファイル /etc/logrotate.d/ksmg-cef-messages を作成し、次の行をそれに追加します:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    compress

    missingok

    notifempty

    sharedscripts

    postrotate

    invoke-rc.d syslog-ng reload > /dev/null

    endscript

    }

  8. syslog-ng サービスを再起動します。この操作には、次のコマンドを実行します:

    systemctl restart rsyslog

  9. syslog-ng サービスのステータスをチェックします:

    systemctl status rsyslog

    サービスのステータスは「running」である必要があります。

  10. 次のコマンドを使用して、テストメッセージを SIEM システムに送信します:

    logger -p <CEF形式のカテゴリ(facility)>.info Test message

SIEM システムへの製品イベントの公開が設定されます。

ページのトップに戻る