Configurando a publicação de eventos de aplicativo para um sistema SIEM

Você pode configurar a publicação de eventos no formato CEF para um sistema SIEM externo, e salvar os eventos localmente em arquivos de log no servidor. Caso não seja necessário salvar os arquivos localmente, é possível ignorar as etapas 5 a 7 e 8 das instruções desta seção.

Siga as etapas abaixo em cada node do cluster cujos eventos se deseja publicar em um sistema SIEM. Ative a exportação de eventos no formato CEF somente depois de configurar a publicação de eventos.

Para configurar a publicação de eventos de aplicativo em um sistema SIEM:

1. Inicie um shell de comando do sistema operacional no node do cluster para executar comandos com permissões de superusuário (administrador do sistema).
2. Os eventos são enviados para um sistema SIEM externo usando o serviço de registro em log do sistema rsyslog. Certifique-se de que o serviço esteja instalado e em execução usando o comando:

   systemctl status rsyslog

   O status do serviço deve estar em execução.

   Se o serviço rsyslog não estiver em execução ou não estiver instalado, instale e ative o serviço rsyslog de acordo com as instruções da documentação de seu sistema operacional.

3. Crie o arquivo /etc/rsyslog.d/ksmg-cef-messages.conf e adicione as seguintes linhas:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

4. Se quiser enviar eventos para um sistema SIEM por UDP, adicione a seguinte linha:

   category (facility) for the CEF format>.* @<IP address of the SIEM system>:<porta usada pelo sistema SIEM para receber as mensagens do Syslog pelo UDP>

   Se quiser enviar eventos por TCP, adicione a seguinte linha:

   <category (facility) for the CEF format>.* @<endereço IP do sistema SIEM><porta usada pelo sistema SIEM para receber as mensagens do Syslog pelo TCP>

5. Se quiser salvar cópias de eventos localmente, adicione a seguinte linha ao mesmo arquivo:

   <instalação para o formato CEF format>.* -/var/log/ksmg-cef-messages

6. Adicione as seguintes linhas ao final do arquivo:

   <facility for the CEF format>.* stop

   Exemplo de arquivo de configuração para exportar por UDP sem salvar no log local: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Exemplo de arquivo de configuração para exportar por TCP com salvamento no log local: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

7. Se você configurou cópias de eventos para serem salvas localmente, crie o arquivo de log /var/log/ksmg-cef-messages e configure suas permissões de acesso. Para fazer isso, execute os comandos:

   toque em /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

8. Se você configurou cópias de eventos para serem salvas localmente, configure as regras para rotação de arquivos de log com eventos exportados. Para isso, crie o arquivo /etc/logrotate.d/ksmg-cef-messages e adicione as seguintes linhas:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

9. Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:

   systemctl restart rsyslog

10. Verifique o status do serviço rsyslog:

    systemctl status rsyslog

    O status deve ser em execução.

11. Envie uma mensagem de teste para o sistema SIEM usando o seguinte comando:

    logger -p <categoria (instalação) para o formato CEF>.info Mensagem de teste

A publicação dos eventos do aplicativo para o sistema SIEM será configurada.

Topo da página