Configuration de la publication des événements de l'application dans le système SIEM

Vous pouvez configurer les événements à publier au format CEF dans un système SIEM externe et les événements à enregistrer localement dans les fichiers journaux sur le serveur. Si vous n'avez pas besoin d'enregistrer les événements localement, ignorez les étapes 5, 7 et 8 de cette section.

Suivez les étapes pour configurer la publication des événements sur chaque nœud du cluster à partir duquel vous souhaitez publier des événements sur le système SIEM. Ce n'est qu'après avoir configuré la publication d'événements que vous devez activer l'exportation d'événements au format CEF.

Pour configurer la publication des événements de l'application dans le système SIEM :

1. Lancez le shell de commande du système d'exploitation sur le nœud du cluster pour exécuter des commandes avec les privilèges de super utilisateur (administrateur système).
2. Les événements sont envoyés à un système SIEM externe à l'aide du service de journalisation système rsyslog. Vérifiez que le service est installé et exécuté à l'aide de la commande :

   systemctl status rsyslog

   L'état du service doit être running.

   Si le service rsyslog n'est pas en cours d'exécution ou est manquant, installez et activez le service rsyslog conformément à la documentation de votre système d'exploitation.

3. Créez un fichier /etc/rsyslog.d/ksmg-cef-messages.conf et ajoutez-y les lignes suivantes :

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

4. Si vous souhaitez transmettre des événements au système SIEM via UDP, ajoutez la ligne :

   <catégorie (facility) pour le format CEF>.* @<adresse IP du système SIEM>:<port sur lequel le système SIEM reçoit les messages de Syslog via le protocole UDP>

   Si vous souhaitez envoyer des événements via TCP, ajoutez la ligne :

   <catégorie (facility) pour le format CEF>.* @@<adresse IP du système SIEM>:<port sur lequel le système SIEM reçoit les messages de Syslog via le protocole TCP>

5. Si vous souhaitez enregistrer les copies d'événements localement, ajoutez la ligne suivante au même fichier :

   <catégorie (facility) pour le format CEF>.* -/var/log/ksmg-cef-messages

6. À la fin du fichier, ajoutez la ligne :

   <catégorie (facility) pour le format CEF>.* stop

   Un exemple de fichier de configuration à exporter via UDP sans enregistrer dans un journal local : $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Un exemple de fichier de configuration à exporter via le protocole TCP avec sauvegarde dans un journal local : $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @@10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

7. Si vous avez configuré pour enregistrer des copies des événements localement, créez un fichier journal /var/log/ksmg-cef-messages et configurez ses autorisations. Pour ce faire, exécutez les commandes :

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

8. Si vous avez configuré l'enregistrement local des copies d'événements, configurez les règles de rotation des fichiers journaux avec les événements exportés. Pour cela, créez un fichier /etc/logrotate.d/ksmg-cef-messages et ajoutez-y les lignes suivantes :

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

9. Relancez le service rsyslog. Pour ce faire, exécutez la commande :

   systemctl restart rsyslog

10. Vérifiez l'état du service rsyslog avec la commande :

    systemctl status rsyslog

    L'état doit être running.

11. Envoyez un message de test au système SIEM à l'aide de la commande :

    logger -p <catégorie (facility) pour le format CEF>.info Test message

La publication des événements de l'application dans le système SIEM sera configurée.

Haut de page