Configurar la publicación de eventos de la aplicación en un sistema SIEM

Puede configurar la publicación de eventos en formato CEF a un sistema SIEM externo, y guardar los eventos localmente en archivos de registro en el servidor. Si no necesita guardar los archivos a nivel local, puede omitir los pasos 5, 7 y 8 de las instrucciones de esta sección.

Siga los pasos a continuación en cada nodo de clúster cuyos eventos desee publicar en un sistema SIEM. Active la exportación de eventos en formato CEF solo después de configurar la publicación de eventos.

Para configurar la publicación de los eventos de la aplicación en un sistema SIEM, realice lo siguiente:

1. Inicie un shell de comandos del sistema operativo en el nodo de clúster para ejecutar comandos con permisos de superusuario (administrador del sistema).
2. Los eventos se envían a un sistema SIEM externo mediante el servicio de registro del sistema rsyslog. Para constatar que el servicio esté instalado y en ejecución use el comando:

   systemctl status rsyslog

   El estado del servicio debe se en ejecución.

   Si el servicio rsyslog no se está ejecutando o no está instalado, instálelo y ejecútelo de acuerdo con las instrucciones de la documentación de su sistema operativo.

3. Cree el archivo /etc/rsyslog.d/ksmg-cef-messages.conf y añádale las siguientes líneas:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

4. Si desea enviar eventos a un sistema SIEM a través de UDP, añada la siguiente línea:

   <categoría (facility) para el formato CEF>.* @<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de UDP>

   Si desea enviar eventos a través de TCP, agregue la siguiente línea:

   <categoría (facility) para el formato CEF>.* @<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de TCP>

5. Si desea guardar copias de eventos localmente, añada la siguiente línea al mismo archivo:

   <facility para el formato CEF>.* -/var/log/ksmg-cef-messages

6. Añada la siguiente línea al final del archivo:

   <instalación para el formato CEF>.* stop

   Ejemplo de Archivo de configuración para exportar a través de UDP sin guardar en el registro local: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Ejemplo de a archivo de configuración para exportar a través de TCP guardando en el registro local: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

7. Si configuró copias de eventos para que se guarden localmente, cree el archivo de registro /var/log/ksmg-cef-messages y configure sus permisos de acceso. Para hacerlo, ejecute los comandos:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

8. Si configuró copias de eventos para que se guarden localmente, configure las reglas para la rotación de archivos de registro con eventos exportados. Para hacerlo, cree el archivo /etc/logrotate.d/ksmg-cef-messages y añádale las siguientes líneas:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

9. Reinicie el servicio rsyslog. Para hacerlo, ejecute el comando siguiente:

   systemctl restart rsyslog

10. Verifique el estado del servicio rsyslog:

    systemctl status rsyslog

    El estado debe ser running.

11. Envíe un mensaje de prueba al sistema SIEM usando el siguiente comando:

    logger -p <categoría (facility) para el formato CEF>.info Mensaje de prueba

Se configurará la publicación de los eventos de la aplicación en el sistema SIEM.

Inicio de página