您可以設定將 CEF 格式的事件發佈到外部 SIEM 系統,以及將事件本機儲存在伺服器上的日誌檔案中。Astra Linux 特別版上 KSMG 的事件發佈設定過程與其他作業系統上配置 KSMG 的過程不同。
在您想要將事件發佈到 SIEM 系統的每個叢集節點上執行以下指令。僅在配置事件發布後才啟用 CEF 格式的事件匯出。
在 Rocky Linux、Ubuntu、Red Hat Enterprise Linux、Debian 和 RED OS 上設定應用程式事件的匯出
使用 rsyslog 系統日誌記錄服務將事件傳送到外部 SIEM 系統。如果您不需要在本機儲存檔案,則可以略過本節說明的第 5、7、8 步。
要設定將應用程式事件發佈到 SIEM 系統:
systemctl status rsyslog
服務的狀態必須是“正在執行”。
如果 rsyslog 服務未執行或未安裝,請依照作業系統文件中的說明安裝並啟用 rsyslog 服務。
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<CEF 格式的類別(工具)>.* @<SIEM 系統的IP 位址>:<SIEM 系統用於透過 UDP 從 Syslog 接收訊息的連接埠>
如果您想透過 TCP 傳送事件,請新增以下行:
<CEF 格式的類別(工具)>.* @<SIEM 系統的IP 位址>:<SIEM 系統用於透過 TCP 從 Syslog 接收訊息的連接埠>
<CEF 格式的工具>.* -/var/log/klms-cef-messages
<CEF 格式的工具>.* stop
透過 UDP 匯出而不儲存到本機日誌的範例設定檔: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop 透過 TCP 匯出並儲存到本機日誌的範例設定檔: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop |
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
systemctl restart rsyslog
systemctl status rsyslog
狀態必須是running。
logger -p <CEF 格式的類別(工具)>.info 測試訊息
將設定向 SIEM 系統發佈應用程式事件。
在 Astra Linux 特別版上設定應用程式事件發布
使用 syslog-ng 系統日誌記錄服務將事件傳送到外部 SIEM 系統。如果您不需要在本機儲存檔案,則可以略過本節說明的第 5、6、7 步。
要設定將應用程式事件發佈到 SIEM 系統:
systemctl status syslog-ng
服務的狀態必須是“正在執行”。
如果 syslog-ng 服務未執行或未安裝,請依照作業系統文件中的說明安裝並啟用 syslog-ng 服務。
filter f_ksmgcef { facility(<CEF 格式的工具>); };
destination d_ksmgcef_forward { network("<SIEM 系統的 IP 位址> " transport("udp") port(<SIEM 系統用於透過 UDP 從 Syslog 接收郵件的連接埠> )); };
log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };
如果您想透過 TCP 傳送事件,請向檔案新增以下行:
destination d_ksmgcef_forward { network("<SIEM 系統的 IP 位址> " transport("tcp") port(<SIEM 系統用於透過 TCP 從 Syslog 接收郵件的連接埠> )); };
log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };
destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };
log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };
透過 UDP 匯出而不儲存到本機日誌的範例設定檔: filter f_ksmgcef { facility(local2); }; destination d_ksmgcef_forward { network("10.16.32.64" transport("udp") port(514)); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); }; 透過 TCP 匯出並儲存到本機日誌的範例設定檔: filter f_ksmgcef { facility(local2); }; destination d_ksmgcef_forward { network("10.16.32.64" transport("tcp") port(514)); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); }; destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); }; |
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
invoke-rc.d syslog-ng reload > /dev/null
endscript
}
systemctl restart rsyslog
systemctl status rsyslog
服務的狀態必須是“正在執行”。
logger -p <CEF 格式的類別(工具)>.info 測試訊息
將設定向 SIEM 系統發佈應用程式事件。
頁面頂端