Настройка публикации событий приложения в SIEM-систему

Вы можете настроить публикацию событий в формате CEF во внешнюю SIEM-систему, а также сохранять их локально в файлы журналов на сервере. Если сохранять события локально не требуется, пропустите шаги 4, 6, 7 инструкции этого раздела.

Выполните шаги по настройке публикации событий на каждом узле кластера, события с которого вы хотите публиковать в SIEM-систему. Только после настройки публикации событий следует включать экспорт событий в формате CEF.

Чтобы настроить публикацию событий приложения в SIEM-систему:

  1. Подключитесь к консоли управления виртуальной машиной KSMG под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.
  2. Создайте файл /etc/rsyslog.d/ksmg-cef-messages.conf и добавьте в него следующие строки:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  3. Если вы хотите передавать события в SIEM-систему по протоколу UDP, добавьте строку:

    local2.* @<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу UDP>

    Если вы хотите передавать события по протоколу TCP, добавьте строку:

    local2.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>

  4. Если вы хотите сохранять события локально, добавьте в файл строку:

    local2.* -/var/log/ksmg-cef-messages

  5. В конец файла добавьте строку:

    local2.* stop

    Пример конфигурационного файла для экспорта по протоколу UDP без сохранения в локальный журнал:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    Пример конфигурационного файла для экспорта по протоколу TCP с сохранением в локальный журнал:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @@10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop
  6. Если вы настроили сохранение копий событий локально, создайте файл журнала /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  7. Если вы настроили сохранение копий событий локально, настройте правила ротации файлов журналов с экспортированными событиями. Для этого создайте файл /etc/logrotate.d/ksmg-cef-messages и добавьте в него следующие строки:

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

      /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

      endscript

    }

  8. Перезапустите службу rsyslog. Для этого выполните команду:

    systemctl restart rsyslog

  9. Проверьте статус службы rsyslog:

    systemctl status rsyslog

    Статус должен быть running.

  10. Отправьте тестовое сообщение в SIEM-систему при помощи команды:

    logger -p local2.info Test message

Публикация событий приложения в SIEM-систему будет настроена.

В начало