Konfigurace publikování událostí aplikace do systému SIEM

Můžete nakonfigurovat publikování událostí ve formátu CEF do externího systému SIEM a také ukládat události místně do souborů protokolu na serveru. Postup konfigurace publikace události pro KSMG v systému Astra Linux Special Edition se liší od postupu pro konfiguraci aplikace KSMG v jiných operačních systémech.

U každého uzlu clusteru, jehož události chcete exportovat do systému SIEM, postupujte podle níže uvedených pokynů. Export událostí ve formátu CEF povolte až po konfiguraci publikování události.

Konfigurace exportu událostí aplikace v systémech Rocky Linux, Ubuntu, Red Hat Enterprise Linux, Debian a RED OS

Události jsou odesílány do externího systému SIEM pomocí služby systémového protokolování rsyslog. Pokud nepotřebujete ukládat události lokálně, přeskočte kroky 5, 7 a 8 pokynů v této části.

Postup konfigurace publikování událostí aplikace do systému SIEM:

1. Spusťte příkazové prostředí (shell) operačního systému v uzlu clusteru a provádějte příkazy s oprávněními superuživatel (správce systému).
2. Pomocí příkazu se ujistěte, že je služba rsyslog nainstalována a spuštěna:

   systemctl status rsyslog

   Stav služby musí být running.

   Pokud služba rsyslog není spuštěna nebo není nainstalována, nainstalujte a povolte službu rsyslog v souladu s pokyny z dokumentace k vašemu operačnímu systému.

3. Vytvořte soubor /etc/rsyslog.d/ksmg-cef-messages.conf a přidejte do něj následující řádky:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

4. Pokud chcete události posílat do systému SIEM prostřednictvím UDP, přidejte následující řádek:

   <kategorie (facility) pro formát CEF>.* @<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes UDP>

   Pokud chcete události posílat přes TCP, přidejte následující řádek:

   <kategorie (facility) pro formát CEF>.* @<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes TCP>

5. Pokud chcete kopie událostí ukládat místně, přidejte do stejného souboru následující řádek:

   <facilita pro formát CEF>.* -/var/log/ksmg-cef-messages

6. Na konec souboru přidejte následující řádek:

   <facilita pro formát CEF>.* stop

   Ukázkový konfigurační soubor pro export přes UDP bez uložení do místního protokolu: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Ukázkový konfigurační soubor pro export přes TCP s uložením do místního protokolu: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

7. Pokud jste nakonfigurovali kopie událostí, aby se ukládaly místně, vytvořte soubor /var/log/ksmg-cef-messages a nakonfigurujte jeho přístupová oprávnění. Chcete-li tak učinit, spusťte příkazy:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

8. Pokud jste nakonfigurovali kopie událostí, které se mají ukládat místně, nakonfigurujte pravidla pro střídání souborů protokolu s exportovanými událostmi. Chcete-li tak učinit, vytvořte soubor /etc/logrotate.d/ksmg-cef-messages a přidejte do něj následující řádky:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

       /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

9. Restartujte službu rsyslog. To provedete následujícím příkazem:

   systemctl restart rsyslog

10. Zkontrolujte stav služby rsyslog:

    systemctl status rsyslog

    Stav musí být spuštěn.

11. Odešlete testovací zprávu do systému SIEM pomocí následujícího příkazu:

    logger -p <kategorie (facilita) pro formát CEF>.info Test message

Je nakonfigurováno publikování událostí aplikace do systému SIEM.

Konfigurace publikování událostí aplikace v systému Astra Linux Special Edition

Události jsou odesílány do externího systému SIEM pomocí služby systémového protokolování syslog-ng. Pokud nepotřebujete ukládat soubory lokálně, můžete přeskočit kroky 5–7 pokynů v této části.

Postup konfigurace publikování událostí aplikace do systému SIEM:

1. Spusťte příkazové prostředí (shell) operačního systému v uzlu clusteru a provádějte příkazy s oprávněními superuživatel (správce systému).
2. Pomocí příkazu se ujistěte, že je služba syslog-ng nainstalována a spuštěna:

   systemctl status syslog-ng

   Stav služby musí být running.

   Pokud služba syslog-ng není spuštěna nebo není nainstalována, nainstalujte a povolte službu syslog-ng v souladu s pokyny z dokumentace k vašemu operačnímu systému.

3. Vytvořte soubor /etc/syslog-ng/conf.d/ksmg-cef-messages.conf a přidejte do něj následující řádek:

   filter f_ksmgcef { facility(<nástroj pro formát CEF>); };

4. Pokud chcete události posílat do systému SIEM prostřednictvím UDP, přidejte do souboru následující řádky:

   destination d_ksmgcef_forward { network("<IP adresa systému SIEM>" transport("udp") port(<port používaný systémem SIEM pro příjem zpráv z protokolu Syslog přes UDP>)); };

   log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

   Pokud chcete události posílat přes TCP, přidejte do souboru následující řádky:

   destination d_ksmgcef_forward { network("<IP adresa systému SIEM>" transport("tcp") port(<port používaný systémem SIEM pro příjem zpráv z protokolu Syslog přes TCP>)); };

   log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

5. Pokud chcete kopie událostí ukládat místně, přidejte do stejného souboru následující řádky:

   destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

   log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

   Ukázkový konfigurační soubor pro export přes UDP bez uložení do místního protokolu: filter f_ksmgcef { facility(local2); }; destination d_ksmgcef_forward { network("10.16.32.64" transport("udp") port(514)); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); }; Ukázkový konfigurační soubor pro export přes TCP s uložením do místního protokolu: filter f_ksmgcef { facility(local2); }; destination d_ksmgcef_forward { network("10.16.32.64" transport("tcp") port(514)); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); }; destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); }; log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

6. Pokud jste nakonfigurovali kopie událostí, aby se ukládaly místně, vytvořte soubor /var/log/ksmg-cef-messages a nakonfigurujte jeho přístupová oprávnění. Chcete-li tak učinit, spusťte příkazy:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

7. Pokud jste nakonfigurovali kopie událostí, které se mají ukládat místně, nakonfigurujte pravidla pro střídání souborů protokolu s exportovanými událostmi. Chcete-li tak učinit, vytvořte soubor /etc/logrotate.d/ksmg-cef-messages a přidejte do něj následující řádky:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

       invoke-rc.d syslog-ng reload > /dev/null

     endscript

   }

8. Restartujte službu syslog-ng. To provedete následujícím příkazem:

   systemctl restart rsyslog

9. Zkontrolujte stav služby syslog-ng:

   systemctl status rsyslog

   Stav služby musí být „running“.

10. Odešlete testovací zprávu do systému SIEM pomocí následujícího příkazu:

    logger -p <kategorie (facilita) pro formát CEF>.info Test message

Je nakonfigurováno publikování událostí aplikace do systému SIEM.

Na začátek stránky