Configurando a publicação de eventos de aplicativo para um sistema SIEM

Você pode configurar a publicação de eventos no formato CEF para um sistema SIEM externo, e salvar os eventos localmente em arquivos de log no servidor. O procedimento de configuração de publicação de eventos para o KSMG no Astra Linux Special Edition é diferente do procedimento para configurar o KSMG em outros sistemas operacionais.

Siga as etapas abaixo em cada node do cluster cujos eventos se deseja publicar em um sistema SIEM. Ative a exportação de eventos no formato CEF somente depois de configurar a publicação de eventos.

Configurar a exportação de eventos do aplicativo no Rocky Linux, Ubuntu, Red Hat Enterprise Linux, Debian e RED OS

Os eventos são enviados para um sistema SIEM externo usando o serviço de registro em log do sistema rsyslog. Caso não seja necessário salvar os arquivos localmente, é possível ignorar as etapas 5 a 7 e 8 das instruções desta seção.

Para configurar a publicação de eventos de aplicativo em um sistema SIEM:

Inicie um shell de comando do sistema operacional no node do cluster para executar comandos com permissões de superusuário (administrador do sistema).
Certifique-se de que o serviço rsyslog esteja instalado e em execução usando o comando:
systemctl status rsyslog

O status do serviço deve estar em execução.

Se o serviço rsyslog não estiver em execução ou não estiver instalado, instale e ative o serviço rsyslog de acordo com as instruções da documentação de seu sistema operacional.
Crie o arquivo /etc/rsyslog.d/ksmg-cef-messages.conf e adicione as seguintes linhas:
$ActionQueueFileName ForwardToSIEM

$ActionQueueMaxDiskSpace 1g

$ActionQueueSaveOnShutdown on

$ActionQueueType LinkedList

$ActionResumeRetryCount -1
Se quiser enviar eventos para um sistema SIEM por UDP, adicione a seguinte linha:
<category (facility) for the CEF format>.* @<IP address of the SIEM system>:<porta usada pelo sistema SIEM para receber as mensagens do Syslog pelo UDP>

Se quiser enviar eventos por TCP, adicione a seguinte linha:

<category (facility) for the CEF format>.* @<endereço IP do sistema SIEM><porta usada pelo sistema SIEM para receber as mensagens do Syslog pelo TCP>
Se quiser salvar cópias de eventos localmente, adicione a seguinte linha ao mesmo arquivo:
<instalação para o formato CEF format>.* -/var/log/ksmg-cef-messages

Adicione as seguintes linhas ao final do arquivo:

<facility for the CEF format>.* stop

Exemplo de arquivo de configuração para exportar por UDP sem salvar no log local:

$ActionQueueFileName ForwardToSIEM2

$ActionQueueMaxDiskSpace 1g

$ActionQueueSaveOnShutdown on

$ActionQueueType LinkedList

$ActionResumeRetryCount -1

local2.* @10.16.32.64:514

local2.* stop

Exemplo de arquivo de configuração para exportar por TCP com salvamento no log local:

$ActionQueueFileName ForwardToSIEM2

$ActionQueueMaxDiskSpace 1g

$ActionQueueSaveOnShutdown on

$ActionQueueType LinkedList

$ActionResumeRetryCount -1

local2.* @10.16.32.64:514

local2.* -/var/log/ksmg-cef-messages

local2.* stop

Se você configurou cópias de eventos para serem salvas localmente, crie o arquivo de log /var/log/ksmg-cef-messages e configure suas permissões de acesso. Para fazer isso, execute os comandos:
toque em /var/log/ksmg-cef-messages

chown root:klusers /var/log/ksmg-cef-messages

chmod 640 /var/log/ksmg-cef-messages
Se você configurou cópias de eventos para serem salvas localmente, configure as regras para rotação de arquivos de log com eventos exportados. Para isso, crie o arquivo /etc/logrotate.d/ksmg-cef-messages e adicione as seguintes linhas:
/var/log/ksmg-cef-messages

{

  size 500M

  rotate 10

  compress

  missingok

  notifempty

  sharedscripts

  postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

  endscript

}
Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:
systemctl restart rsyslog
Verifique o status do serviço rsyslog:
systemctl status rsyslog

O status deve ser em execução.
Envie uma mensagem de teste para o sistema SIEM usando o seguinte comando:
logger -p <categoria (instalação) para o formato CEF>.info Mensagem de teste

A publicação dos eventos do aplicativo para o sistema SIEM será configurada.

Configurando a publicação de eventos do aplicativo no Astra Linux Special Edition

Os eventos são enviados para um sistema SIEM externo usando o serviço de registro em log do sistema syslog-ng. Se não precisar salvar os eventos localmente, ignore as etapas 5 a 7 das instruções desta seção.

Para configurar a publicação de eventos de aplicativo em um sistema SIEM:

Inicie um shell de comando do sistema operacional no node do cluster para executar comandos com permissões de superusuário (administrador do sistema).
Certifique-se de que o serviço syslog-ng esteja instalado e em execução usando o comando:
systemctl status syslog-ng

O status do serviço deve estar em execução.

Se o serviço syslog-ng não estiver em execução ou não estiver instalado, instale e ative o serviço syslog-ng de acordo com as instruções da documentação de seu sistema operacional.
Cria o arquivo /etc/syslog-ng/conf.d/ksmg-cef-messages.conf e adiciona a linha a seguir:
filter f_ksmgcef { facility(<instalação para o formato CEF>); };
Se quiser enviar eventos para um sistema SIEM por UDP, adicione a seguintes linhas ao arquivo:
destination d_ksmgcef_forward { network("<endereço IP do sistema SIEM>" transport("udp") port(<porta usada pelo sistema SIEM para receber mensagens do Syslong via UDP>)); };

log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

Se quiser enviar eventos via TCP, adicione as seguintes linhas:

destination d_ksmgcef_forward { network("<IP address of the SIEM system>" transport("tcp") port(<porta usada pelo sistema SIEM para receber mensagens do Syslog via TCP>)); };

log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

Se quiser salvar cópias de eventos localmente, adicione a seguintes linhas ao mesmo arquivo:

destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

Exemplo de arquivo de configuração para exportar por UDP sem salvar no log local:

filter f_ksmgcef { facility(local2); };

destination d_ksmgcef_forward { network("10.16.32.64" transport("udp") port(514)); };

log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

Exemplo de arquivo de configuração para exportar por TCP com salvamento no log local:

filter f_ksmgcef { facility(local2); };

destination d_ksmgcef_forward { network("10.16.32.64" transport("tcp") port(514)); };

log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

Se você configurou cópias de eventos para serem salvas localmente, crie o arquivo de log /var/log/ksmg-cef-messages e configure suas permissões de acesso. Para fazer isso, execute os comandos:
toque em /var/log/ksmg-cef-messages

chown root:klusers /var/log/ksmg-cef-messages

chmod 640 /var/log/ksmg-cef-messages
Se você configurou cópias de eventos para serem salvas localmente, configure as regras para rotação de arquivos de log com eventos exportados. Para isso, crie o arquivo /etc/logrotate.d/ksmg-cef-messages e adicione as seguintes linhas:
/var/log/ksmg-cef-messages

{

  size 500M

  rotate 10

  compress

  missingok

  notifempty

  sharedscripts

  postrotate

    invoke-rc.d syslog-ng reload > /dev/null

  endscript

}
Reinicie o serviço syslog-ng. Para isso, execute o seguinte comando:
systemctl restart rsyslog
Verifique o status do serviço syslog-ng:
systemctl status rsyslog

O status do serviço deve ser 'em execução'.
Envie uma mensagem de teste para o sistema SIEM usando o seguinte comando:
logger -p <categoria (instalação) para o formato CEF>.info Mensagem de teste

A publicação dos eventos do aplicativo para o sistema SIEM será configurada.

Topo da página