Настройка передачи событий FreeIPA в KUMA

Чтобы настроить передачу событий FreeIPA в KUMA по протоколу Syslog в формате JSON:

1. Подключитесь к серверу FreeIPA по протоколу SSH под учетной записью с правами администратора.
2. В директории /etc/rsyslog.d/ создайте файл freeipa-to-siem.conf.
3. В конфигурационный файл /etc/rsyslog.d/freeipa-to-siem.conf добавьте следующие строки:

   $ModLoad imfile

   input(type="imfile"

   File="/var/log/httpd/error_log"

   Tag="tag_FreeIPA_log_httpd"

   facility="local3")

   input(type="imfile"

   File="/var/log/dirsrv/slapd-*/audit"

   Tag="tag_FreeIPA_log_audit"

   StartMsg.regex="^time:"

   facility="local3")

   input(type="imfile"

   File="/var/log/dirsrv/slapd-*/errors"

   Tag="tag_FreeIPA_log_errors"

   facility="local3")

   input(type="imfile"

   File="/var/log/dirsrv/slapd-*/access"

   Tag="tag_FreeIPA_log_access"

   facility="local3")

   input(type="imfile"

   File="/var/log/krb5kdc.log"

   Tag="tag_FreeIPA_log_krb5kdc"

   facility="local3")

   template(name="ls_json" type="list" option.json="on") {

   constant(value="{")

   constant(value="\"@timestamp\":\"") property(name="timegenerated" dateFormat="rfc3339")

   constant(value="\",\"@version\":\"1")

   constant(value="\",\"message\":\"") property(name="msg")

   constant(value="\",\"host\":\"") property(name="fromhost")

   constant(value="\",\"host_ip\":\"") property(name="fromhost-ip")

   constant(value="\",\"logsource\":\"") property(name="fromhost")

   constant(value="\",\"severity_label\":\"") property(name="syslogseverity-text")

   constant(value="\",\"severity\":\"") property(name="syslogseverity")

   constant(value="\",\"facility_label\":\"") property(name="syslogfacility-text")

   constant(value="\",\"facility\":\"") property(name="syslogfacility")

   constant(value="\",\"program\":\"") property(name="programname")

   constant(value="\",\"pid\":\"") property(name="procid")

   constant(value="\",\"syslogtag\":\"") property(name="syslogtag")

   constant(value="\"}\n")

   }

   if $syslogtag contains 'tag_FreeIPA_log' then {

   action(type="omfwd"

   target="<IP-адрес коллектора KUMA>"

   port="<порт коллектора KUMA>"

   protocol="<udp или tcp>"

   template="ls_json")

   stop

   }

4. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

   $IncludeConfig /etc/rsyslog.d/freeipa-to-siem.conf

   $RepeatedMsgReduction off

5. При необходимости выключите локальную запись событий FreeIPA, выполнив следующие действия:
   1. Откройте на редактирование конфигурационный файл rsyslog /etc/rsyslog.conf или файл правил по умолчанию /etc/rsyslog.d/50-default.conf.
   2. Найдите в файле строку, отвечающую за запись системных событий, и добавьте в нее параметр local3.none, так как в конфигурационном файле /etc/rsyslog.d/freeipa-to-siem.conf параметру facility присвоено значение local3. Измененная строка должна выглядеть следующим образом:

      *.info;mail.none;authpriv.none;cron.none;local3.none /var/log/messages

      Если значение параметра facility local3 уже используется другой программой на сервере, измените значение параметра facility для FreeIPA в файле /etc/rsyslog.d/freeipa-to-siem.conf на другое значение и внесите соответствующие правки в выбранном конфигурационном файле rsyslog.

   3. Сохраните изменения.
6. Сохраните изменения в конфигурационном файле /etc/rsyslog.d/freeipa-to-siem.conf.
7. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service

В начало