Veröffentlichung von Ereignissen der App im SIEM-System konfigurieren

Sie können sowohl die Veröffentlichung von Ereignissen im CEF-Format auf einem externen SIEM-System als auch die Speicherung von Ereignissen in einer lokalen Protokolldateien auf dem Server konfigurieren. Das Verfahren zum Konfigurieren der Veröffentlichung von KSMG-Ereignissen unterscheidet sich unter Astra Linux Special Edition vom Verfahren zum Konfigurieren von KSMG unter anderen Betriebssystemen.

Befolgen Sie die Schritte zur Konfiguration der Veröffentlichung von Ereignissen an jedem Cluster-Knoten, dessen Ereignisse Sie im SIEM-System veröffentlichen möchten. Erst nach dem Einrichten der Ereignisveröffentlichung sollten Sie den Ereignisexport im CEF-Format aktivieren.

Konfigurieren der Veröffentlichung von Anwendungsereignissen unter Rocky Linux, Ubuntu, Red Hat Enterprise Linux, Debian und RED OS

Ereignisse werden mithilfe des rsyslog-Dienstes für Systemprotokollierung an ein externes SIEM-System gesendet. Wenn Sie Ereignisse nicht lokal speichern müssen, überspringen Sie die Schritte 5, 7, 8 in diesem Abschnitt.

So konfigurieren Sie die Veröffentlichungen von App-Ereignisse im SIEM-System:

  1. Starten Sie die Befehlsschnittstelle des Betriebssystems auf dem Cluster-Knoten, um Befehle mit Superuser-Rechten (Systemadministrator) auszuführen.
  2. Überprüfen Sie mit dem folgenden Befehl, dass der Dienst "rsyslog" installiert ist und ausgeführt wird:

    systemctl status rsyslog

    Der Status des Dienstes muss running lauten.

    Wenn der rsyslog-Dienst nicht ausgeführt wird oder fehlt, installieren und aktivieren Sie den rsyslog-Dienst gemäß der Dokumentation Ihres Betriebssystems.

  3. Erstellen Sie eine Datei "/etc/rsyslog.d/ksmg-cef-messages.conf" und fügen Sie die folgenden Zeilen hinzu:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  4. Wenn Sie Ereignisse per UDP-Protokoll an das SIEM-System übertragen möchten, fügen Sie die folgende Zeile hinzu:

    <Kategorie (facility) für das CEF-Format>.*@<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das UDP-Protokoll empfängt>

    Wenn Sie Ereignisse per TCP-Protokoll übertragen möchten, fügen Sie die folgende Zeile hinzu:

    <Kategorie (facility) für das CEF-Format>.*@@<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das TCP-Protokoll empfängt>

  5. Wenn Sie Kopien der Ereignisse lokal speichern möchten, fügen Sie der gleichen Datei die folgende Zeile hinzu:

    <Kategorie (facility) für das CEF-Format>.* -/var/log/ksmg-cef-messages

  6. Fügen Sie am Ende der Datei die Zeile hinzu:

    <Kategorie (facility) für CEF-Format>.* stop

    Ein Beispiel für eine Konfigurationsdatei zum Export per UDP-Protokoll ohne Speicherung in einem lokalen Protokoll:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    Ein Beispiel für eine Konfigurationsdatei zum Export per TCP-Protokoll mit Speicherung in einem lokalen Protokoll:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @@10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop
  7. Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, erstellen Sie die Protokolldatei " /var/log/ksmg-cef-messages" und Konfigurieren Sie den Zugriff auf diese. Führen Sie dazu folgende Befehle aus:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  8. Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, konfigurieren Sie Regeln für die Protokoll-Rotation mit exportierten Ereignissen. Erstellen Sie dazu eine Datei "/etc/logrotate.d/ksmg-cef-messages" und fügen Sie ihr die folgenden Zeilen hinzu:

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

      endscript

    }

  9. Starten Sie den Dienst rsyslog neu. Führen Sie dazu den folgenden Befehl aus:

    systemctl restart rsyslog

  10. Überprüfen Sie den Status des rsyslog-Dienstes mit dem folgenden Befehl:

    systemctl status rsyslog

    Der Status muss running lauten.

  11. Senden Sie mit dem folgenden Befehl eine Testnachricht an das SIEM-System:

    logger -p <Kategorie (facility) für das CEF-Format>.info Testnachricht

Das Veröffentlichen von Ereignissen der App im SIEM-System wird konfiguriert.

Konfigurieren der Veröffentlichung von Ereignissen der Anwendung unter Astra Linux Special Edition

Ereignisse werden mithilfe des Dienstes "rsyslog-ng" für Systemprotokollierung an ein externes SIEM-System gesendet. Wenn Sie Ereignisse nicht lokal speichern müssen, überspringen Sie die Schritte 5 bis 7 in diesem Abschnitt.

So konfigurieren Sie die Veröffentlichungen von App-Ereignisse im SIEM-System:

  1. Starten Sie die Befehlsschnittstelle des Betriebssystems auf dem Cluster-Knoten, um Befehle mit Superuser-Rechten (Systemadministrator) auszuführen.
  2. Überprüfen Sie mit dem folgenden Befehl, dass der Dienst "syslog-ng" installiert ist und ausgeführt wird:

    systemctl status syslog-ng

    Der Status des Dienstes muss running lauten.

    Wenn der Dienst "syslog-ng" nicht ausgeführt wird oder fehlt, installieren und aktivieren Sie diese Dienst gemäß der Dokumentation Ihres Betriebssystems.

  3. Erstellen Sie eine Datei "/etc/syslog-ng/conf.d/ksmg-cef-messages.conf" und fügen Sie die folgende Zeile hinzu:

    filter f_ksmgcef { facility(<Kategorie des CEF-Formats>); };

  4. Wenn Sie Ereignisse per UDP-Protokoll an das SIEM-System übertragen möchten, fügen Sie der Datei die folgenden Zeilen hinzu:

    destination d_ksmgcef_forward { network("<IP-Adresse des SIEM-Systems>" transport("udp") port(<Port, an dem das SIEM-System Nachrichten von Syslog mittels UDP-Protokoll annimmt>)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    Wenn Sie Ereignisse per TCP-Protokoll übertragen möchten, fügen Sie der Datei die folgenden Zeilen hinzu:

    destination d_ksmgcef_forward { network("<IP-Adresse des SIEM-Systems>" transport("tcp") port(<Port, an dem das SIEM-System Nachrichten von Syslog mittels TCP-Protokoll annimmt>)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

  5. Wenn Sie Kopien der Ereignisse lokal speichern möchten, fügen Sie der gleichen Datei die folgenden Zeilen hinzu:

    destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

    Ein Beispiel für eine Konfigurationsdatei zum Export per UDP-Protokoll ohne Speicherung in einem lokalen Protokoll:

    filter f_ksmgcef { facility(local2); };

    destination d_ksmgcef_forward { network("10.16.32.64" transport("udp") port(514)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    Ein Beispiel für eine Konfigurationsdatei zum Export per TCP-Protokoll mit Speicherung in einem lokalen Protokoll:

    filter f_ksmgcef { facility(local2); };

    destination d_ksmgcef_forward { network("10.16.32.64" transport("tcp") port(514)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

  6. Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, erstellen Sie die Protokolldatei " /var/log/ksmg-cef-messages" und Konfigurieren Sie den Zugriff auf diese. Führen Sie dazu folgende Befehle aus:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  7. Wenn Sie die lokale Speicherung von Ereigniskopien konfiguriert haben, konfigurieren Sie Regeln für die Protokoll-Rotation mit exportierten Ereignissen. Erstellen Sie dazu eine Datei "/etc/logrotate.d/ksmg-cef-messages" und fügen Sie ihr die folgenden Zeilen hinzu:

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

        invoke-rc.d syslog-ng reload > /dev/null

      endscript

    }

  8. Starten Sie den Dienst "syslog-ng" neu. Führen Sie dazu den folgenden Befehl aus:

    systemctl restart rsyslog

  9. Überprüfen Sie den Status des Dienstes "syslog-ng" mit folgendem Befehl:

    systemctl status rsyslog

    Der Status des Dienstes muss "running" lauten.

  10. Senden Sie mit dem folgenden Befehl eine Testnachricht an das SIEM-System:

    logger -p <Kategorie (facility) für das CEF-Format>.info Testnachricht

Das Veröffentlichen von Ereignissen der App im SIEM-System wird konfiguriert.

Nach oben