Konfigurace publikování událostí aplikace do systému SIEM

Můžete nakonfigurovat publikování událostí ve formátu CEF do externího systému SIEM a také ukládat události místně do souborů protokolu na serveru. Pokud nepotřebujete ukládat události lokálně, přeskočte kroky 5, 7 a 8 pokynů v této části.

U každého uzlu clusteru, jehož události chcete exportovat do systému SIEM, postupujte podle níže uvedených pokynů. Export událostí ve formátu CEF povolte až po konfiguraci publikování události.

Postup konfigurace publikování událostí aplikace do systému SIEM:

  1. Spusťte příkazové prostředí (shell) operačního systému v uzlu clusteru a provádějte příkazy s oprávněními superuživatel (správce systému).
  2. Události jsou odesílány do externího systému SIEM pomocí služby systémového protokolování rsyslog. Pomocí příkazu se ujistěte, že je služba nainstalována a spuštěna:

    systemctl status rsyslog

    Stav služby musí být running.

    Pokud služba rsyslog není spuštěna nebo není nainstalována, nainstalujte a povolte službu rsyslog v souladu s pokyny z dokumentace k vašemu operačnímu systému.

  3. Vytvořte soubor /etc/rsyslog.d/ksmg-cef-messages.conf a přidejte do něj následující řádky:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  4. Pokud chcete události posílat do systému SIEM prostřednictvím UDP, přidejte následující řádek:

    <kategorie (facility) pro formát CEF>.* @<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes UDP>

    Pokud chcete události posílat přes TCP, přidejte následující řádek:

    <kategorie (facility) pro formát CEF>.* @<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes TCP>

  5. Pokud chcete kopie událostí ukládat místně, přidejte do stejného souboru následující řádek:

    <facilita pro formát CEF>.* -/var/log/ksmg-cef-messages

  6. Na konec souboru přidejte následující řádek:

    <facilita pro formát CEF>.* stop

    Ukázkový konfigurační soubor pro export přes UDP bez uložení do místního protokolu:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    Ukázkový konfigurační soubor pro export přes TCP s uložením do místního protokolu:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop

  7. Pokud jste nakonfigurovali kopie událostí, aby se ukládaly místně, vytvořte soubor /var/log/ksmg-cef-messages a nakonfigurujte jeho přístupová oprávnění. Chcete-li tak učinit, spusťte příkazy:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  8. Pokud jste nakonfigurovali kopie událostí, které se mají ukládat místně, nakonfigurujte pravidla pro střídání souborů protokolu s exportovanými událostmi. Chcete-li tak učinit, vytvořte soubor /etc/logrotate.d/ksmg-cef-messages a přidejte do něj následující řádky:

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

      /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

      endscript

    }

  9. Restartujte službu rsyslog. To provedete následujícím příkazem:

    systemctl restart rsyslog

  10. Zkontrolujte stav služby rsyslog:

    systemctl status rsyslog

    Stav musí být spuštěn.

  11. Odešlete testovací zprávu do systému SIEM pomocí následujícího příkazu:

    logger -p <kategorie (facilita) pro formát CEF>.info Test message

Je nakonfigurováno publikování událostí aplikace do systému SIEM.

Na začátek stránky