Para ativar a exportação de eventos no modo suporte técnico, primeiramente é necessário carregar a chave SSH pública na interface web do aplicativo.
É possível salvar os arquivos contendo os eventos exportados localmente no servidor e configurar a publicação em um sistema SIEM externo. Caso seja necessário salvar os arquivos localmente, é possível ignorar as etapas 4 a 7 das instruções desta seção.
Execute as instruções abaixo em cada node do cluster cujos eventos deseja exportar no formato CEF.
Para configurar a exportação de eventos no formato CEF:
Você entrará no modo suporte técnico.
recurso
na seção siemSettings
:Auth
Authpriv
Cron
Daemon
Ftp
Lpr
Mail
News
Syslog
User
Uucp
Local0
Local1
Local2
Local3
Local4
Local5
Local6
Local7
Recomenda-se especificar uma categoria (recurso) para o Syslog que não seja usado por outros programas no servidor.
O valor padrão é local2
.
enabled
como true
.logLevel
:Error
– exporta eventos relacionados a erros.Info
– exportar todos os eventos.Exemplo:
|
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
para
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages
<recurso selecionado na etapa 2>. * - / var / log / ksmg-cef-messages
toque em /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
o serviço rsyslog é reiniciado
Isso é necessário para a sincronização de parâmetros entre os nodes do cluster e para a aplicação das alterações feitas no arquivo de configuração. Então, será possível restaurar o valor original de um parâmetro modificado.
A exportação de eventos no formato CEF está configurada agora.
Topo da página