Настройка публикации событий приложения в SIEM-систему

Вы можете настроить публикацию событий в формате CEF во внешнюю SIEM-систему и сохранение событий локально в файлы журналов на сервере. Порядок настройки публикации событий KSMG под управлением Astra Linux Special Edition отличается от порядка настройки KSMG под управлением других операционных систем.

Выполните шаги по настройке публикации событий на каждом узле кластера, события с которого вы хотите публиковать в SIEM-систему. Только после настройки публикации событий следует включать экспорт событий в формате CEF.

Настройка публикации событий приложения под управлением Rocky Linux, Ubuntu, Red Hat Enterprise Linux, Debian и РЕД ОС

События передаются во внешнюю SIEM-систему с помощью системной службы ведения журналов rsyslog. Если сохранять события локально не требуется, пропустите шаги 5, 7, 8 инструкции этого раздела.

Чтобы настроить публикацию событий приложения в SIEM-систему:

1. Запустите командную оболочку операционной системы на узле кластера для выполнения команд с полномочиями суперпользователя (администратора системы).
2. Убедитесь, что служба rsyslog установлена и запущена, с помощью команды:

   systemctl status rsyslog

   Статус службы должен быть running.

   Если служба rsyslog не запущена или отсутствует, установите и активируйте службу rsyslog согласно документации вашей операционной системы.

3. Создайте файл /etc/rsyslog.d/ksmg-cef-messages.conf и добавьте в него следующие строки:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

4. Если вы хотите передавать события в SIEM-систему по протоколу UDP, добавьте строку:

   <категория (facility) для формата CEF>.* @<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу UDP>

   Если вы хотите передавать события по протоколу TCP, добавьте строку:

   <категория (facility) для формата CEF>.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>

5. Если вы хотите сохранять копии событий локально, добавьте в тот же файл строку:

   <категория (facility) для формата CEF>.* -/var/log/ksmg-cef-messages

6. В конец файла добавьте строку:

   <категория (facility) для формата CEF>.* stop

   Пример конфигурационного файла для экспорта по протоколу UDP без сохранения в локальный журнал: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Пример конфигурационного файла для экспорта по протоколу TCP с сохранением в локальный журнал: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @@10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

7. Если вы настроили локальное сохранение копий событий, создайте файл журнала /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

8. Если вы настроили локальное сохранение копий событий, настройте правила ротации файлов журналов с экспортированными событиями. Для этого создайте файл /etc/logrotate.d/ksmg-cef-messages и добавьте в него следующие строки:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

       /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

9. Перезапустите службу rsyslog. Для этого выполните команду:

   systemctl restart rsyslog

10. Проверьте статус службы rsyslog c помощью команды:

    systemctl status rsyslog

    Статус должен быть running.

11. Отправьте тестовое сообщение в SIEM-систему при помощи команды:

    logger -p <категория (facility) для формата CEF>.info Test message

Публикация событий приложения в SIEM-систему будет настроена.

Настройка публикации событий приложения под управлением Astra Linux Special Edition

События передаются во внешнюю SIEM-систему с помощью системной службы ведения журналов syslog-ng. Если сохранять события локально не требуется, пропустите шаги 5–7 инструкции этого раздела.

Чтобы настроить публикацию событий приложения в SIEM-систему:

1. Запустите командную оболочку операционной системы на узле кластера для выполнения команд с полномочиями суперпользователя (администратора системы).
2. Убедитесь, что служба syslog-ng установлена и запущена, с помощью команды:

   systemctl status syslog-ng

   Статус для службы должен быть running.

   Если служба syslog-ng не запущена или отсутствует, установите и активируйте службу syslog-ng согласно документации вашей операционной системы.

3. Создайте файл /etc/syslog-ng/conf.d/ksmg-cef-messages.conf и добавьте в него следующую строку:

   filter f_ksmgcef { facility(<категория для формата CEF>); };

4. Если вы хотите передавать события в SIEM-систему по протоколу UDP, добавьте в файл следующие строки:

   destination d_ksmgcef_forward { network("<IP-адрес SIEM-системы>" transport("udp") port(<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу UDP>)); };

   log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

   Если вы хотите передавать события по протоколу TCP, добавьте в файл следующие строки:

   destination d_ksmgcef_forward { network("<IP-адрес SIEM-системы>" transport("tcp") port(<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>)); };

   log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

5. Если вы хотите сохранять копии событий локально, добавьте в тот же файл следующие строки:

   destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

   log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

   Пример конфигурационного файла для экспорта по протоколу UDP без сохранения в локальный журнал: filter f_ksmgcef { facility(local2); }; destination d_ksmgcef_forward { network("10.16.32.64" transport("udp") port(514)); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); }; Пример конфигурационного файла для экспорта по протоколу TCP с сохранением в локальный журнал: filter f_ksmgcef { facility(local2); }; destination d_ksmgcef_forward { network("10.16.32.64" transport("tcp") port(514)); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); }; destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

6. Если вы настроили локальное сохранение копий событий, создайте файл журнала /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

7. Если вы настроили локальное сохранение копий событий, настройте правила ротации файлов журналов с экспортированными событиями. Для этого создайте файл /etc/logrotate.d/ksmg-cef-messages и добавьте в него следующие строки:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

       invoke-rc.d syslog-ng reload > /dev/null

     endscript

   }

8. Перезапустите службу syslog-ng. Для этого выполните команду:

   systemctl restart rsyslog

9. Проверьте статус службы syslog-ng c помощью команды:

   systemctl status rsyslog

   Статус для службы должен быть running.

10. Отправьте тестовое сообщение в SIEM-систему при помощи команды:

    logger -p <категория (facility) для формата CEF>.info Test message

Публикация событий приложения в SIEM-систему будет настроена.

В начало