您可以設定將 CEF 格式的事件發佈到外部 SIEM 系統,以及將事件本機儲存在伺服器上的日誌檔案中。如果您不需要在本機儲存檔案,則可以略過本節說明的第 5、7、8 步。
在您想要將事件發佈到 SIEM 系統的每個叢集節點上執行以下指令。僅在配置事件發布後才啟用 CEF 格式的事件匯出。
要設定將應用程式事件發佈到 SIEM 系統:
systemctl status rsyslog
服務的狀態必須是“正在執行”。
如果 rsyslog 服務未執行或未安裝,請依照作業系統文件中的說明安裝並啟用 rsyslog 服務。
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<CEF 格式的類別(工具)>.* @<SIEM 系統的IP 位址>:<SIEM 系統用於透過 UDP 從 Syslog 接收訊息的連接埠>
如果您想透過 TCP 傳送事件,請新增以下行:
<CEF 格式的類別(工具)>.* @<SIEM 系統的IP 位址>:<SIEM 系統用於透過 TCP 從 Syslog 接收訊息的連接埠>
<CEF 格式的工具>.* -/var/log/klms-cef-messages
<CEF 格式的工具>.* stop
透過 UDP 匯出而不儲存到本機日誌的範例設定檔: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop 透過 TCP 匯出並儲存到本機日誌的範例設定檔: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop |
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
systemctl restart rsyslog
systemctl status rsyslog
狀態必須是running。
logger -p <CEF 格式的類別(工具)>.info 測試訊息
將設定向 SIEM 系統發佈應用程式事件。
頁面頂端