設定向 SIEM 系統發佈應用程式事件

確保啟用以 CEF 格式匯出事件,然後再繼續設定。

遵照下面每個叢集節點上描述的步驟執行,您想要為這些節點將事件發佈到 SIEM 系統。

要設定向 SIEM 系統發佈應用程式事件:

  1. 作為 'admin' 開啟虛擬機的主控台或者透過 SSH 遠端登入,然後使用應用程式初始配置過程中配置的虛擬機的管理員密碼。
  2. 選擇操作功能表中,選擇技術支援模式
  3. 密碼欄位中,輸入 Web 介面管理員密碼並點擊Ok
  4. 技術支援模式視窗中,點擊確認進入技術支援模式
  5. 指定用於連接到具有 SIEM 系統的伺服器位址和連接埠。為此,將以下幾行新增到 /etc/rsyslog.conf 檔案的末尾:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    <facility>.* @@<SIEM 系統的 IP 位址>:<SIEM 系統 透過 TCP 接收 Syslog 訊息的連接埠>

    建議在編輯 /etc/rsyslog.conf 檔案之前建立該檔案的備份副本。編輯該檔案時引入的錯誤可能會導致系統故障。

  6. 重啟 rsyslog 服務。要執行此操作,請在指令行中輸入:

    service rsyslog restart

向 SIEM 系統發佈程式事件即設定完成。

頁面頂端