配置向 SIEM 系统发布应用程序事件

确保启用以 CEF 格式导出事件,然后再继续配置。

遵照下面每个集群节点上描述的步骤执行,您想要为这些节点将事件发布到 SIEM 系统。

要配置向 SIEM 系统发布应用程序事件:

  1. 作为 'admin' 打开虚拟机的控制台或者通过 SSH 远程登录,然后使用应用程序初始配置过程中配置的虚拟机的管理员密码。
  2. 选择操作菜单中,选择技术支持模式
  3. 密码字段中,输入 Web 界面管理员密码并单击Ok
  4. 技术支持模式窗口中,单击确认进入技术支持模式
  5. 指定用于连接到具有 SIEM 系统的服务器的地址和端口。为此,将以下行添加到 /etc/rsyslog.conf 文件的末尾:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    <facility>.* @@<SIEM 系统的 IP 地址>:<SIEM 系统通过 TCP 接收 Syslog 消息的端口>

    建议在编辑 /etc/rsyslog.conf 文件之前创建该文件的备份副本。编辑该文件时引入的错误可能会导致系统故障。

  6. 重启 rsyslog 服务。要执行此操作,请在命令行中输入:

    service rsyslog restart

向 SIEM 系统发布程序事件即配置完成。

页面顶部