Configuration de la publication des événements de l'application dans le système SIEM

Vous pouvez configurer les événements à publier au format CEF dans un système SIEM externe et les événements à enregistrer localement dans les fichiers journaux sur le serveur. La procédure de configuration de la publication des événements KSMG sous Astra Linux Special Edition diffère de la procédure de configuration de KSMG sous d'autres systèmes d'exploitation.

Suivez les étapes pour configurer la publication des événements sur chaque nœud du cluster à partir duquel vous souhaitez publier des événements sur le système SIEM. Ce n'est qu'après avoir configuré la publication d'événements que vous devez activer l'exportation d'événements au format CEF.

Configuration de la publication des événements de l'application exécutant Rocky Linux, Ubuntu, Red Hat Enterprise Linux, Debian et RED OS

Les événements sont envoyés à un système SIEM externe à l'aide du service de journalisation système rsyslog. Si vous n'avez pas besoin d'enregistrer les événements localement, ignorez les étapes 5, 7 et 8 de cette section.

Pour configurer la publication des événements de l'application dans le système SIEM :

  1. Lancez le shell de commande du système d'exploitation sur le nœud du cluster pour exécuter des commandes avec les privilèges de super utilisateur (administrateur système).
  2. Vérifiez que le service rsyslog est installé et exécuté à l'aide de la commande :

    systemctl status rsyslog

    L'état du service doit être running.

    Si le service rsyslog n'est pas en cours d'exécution ou est manquant, installez et activez le service rsyslog conformément à la documentation de votre système d'exploitation.

  3. Créez un fichier /etc/rsyslog.d/ksmg-cef-messages.conf et ajoutez-y les lignes suivantes :

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  4. Si vous souhaitez transmettre des événements au système SIEM via UDP, ajoutez la ligne :

    <catégorie (facility) pour le format CEF>.* @<adresse IP du système SIEM>:<port sur lequel le système SIEM reçoit les messages de Syslog via le protocole UDP>

    Si vous souhaitez envoyer des événements via TCP, ajoutez la ligne :

    <catégorie (facility) pour le format CEF>.* @@<adresse IP du système SIEM>:<port sur lequel le système SIEM reçoit les messages de Syslog via le protocole TCP>

  5. Si vous souhaitez enregistrer les copies d'événements localement, ajoutez la ligne suivante au même fichier :

    <catégorie (facility) pour le format CEF>.* -/var/log/ksmg-cef-messages

  6. À la fin du fichier, ajoutez la ligne :

    <catégorie (facility) pour le format CEF>.* stop

    Un exemple de fichier de configuration à exporter via UDP sans enregistrer dans un journal local :

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    Un exemple de fichier de configuration à exporter via le protocole TCP avec sauvegarde dans un journal local :

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @@10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop
  7. Si vous avez configuré pour enregistrer des copies des événements localement, créez un fichier journal /var/log/ksmg-cef-messages et configurez ses autorisations. Pour ce faire, exécutez les commandes :

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  8. Si vous avez configuré l'enregistrement local des copies d'événements, configurez les règles de rotation des fichiers journaux avec les événements exportés. Pour cela, créez un fichier /etc/logrotate.d/ksmg-cef-messages et ajoutez-y les lignes suivantes :

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

      endscript

    }

  9. Relancez le service rsyslog. Pour ce faire, exécutez la commande :

    systemctl restart rsyslog

  10. Vérifiez l'état du service rsyslog avec la commande :

    systemctl status rsyslog

    L'état doit être running.

  11. Envoyez un message de test au système SIEM à l'aide de la commande :

    logger -p <catégorie (facility) pour le format CEF>.info Test message

La publication des événements de l'application dans le système SIEM sera configurée.

Configuration de la publication des événements de l'application exécutant Astra Linux Special Edition

Les événements sont envoyés à un système SIEM externe à l'aide du service de journalisation système syslog-ng. Si vous n'avez pas besoin d'enregistrer les événements localement, ignorez les étapes 5–7 de cette section.

Pour configurer la publication des événements de l'application dans le système SIEM :

  1. Lancez le shell de commande du système d'exploitation sur le nœud du cluster pour exécuter des commandes avec les privilèges de super utilisateur (administrateur système).
  2. Vérifiez que le service syslog-ng est installé et exécuté à l'aide de la commande :

    systemctl status syslog-ng

    L'état pour le service doit être running.

    Si le service syslog-ng n'est pas en cours d'exécution ou est manquant, installez et activez le service syslog-ng conformément à la documentation de votre système d'exploitation.

  3. Créez un fichier /etc/syslog-ng/conf.d/ksmg-cef-messages.conf et ajoutez-y la ligne suivante :

    filter f_ksmgcef { facility(<catégorie pour le format CEF>); };

  4. Si vous souhaitez transmettre des événements au système SIEM via UDP, ajoutez les lignes suivantes au fichier :

    destination d_ksmgcef_forward { network("<adresse IP du système SIEM>" transport("udp") port(<port sur lequel le port SIEM reçoit les messages de Syslog via le protocole UDP>)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    Si vous souhaitez envoyer des événements via TCP, ajoutez les lignes suivantes au fichier :

    destination d_ksmgcef_forward { network("<adresse IP du système SIEM>" transport("tcp") port(<port sur lequel le port SIEM reçoit les messages de Syslog via le protocole TCP>)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

  5. Si vous souhaitez enregistrer des copies d'événements localement, ajoutez les lignes suivantes au même fichier :

    destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

    Un exemple de fichier de configuration à exporter via UDP sans enregistrer dans un journal local :

    filter f_ksmgcef { facility(local2); };

    destination d_ksmgcef_forward { network("10.16.32.64" transport("udp") port(514)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    Un exemple de fichier de configuration à exporter via le protocole TCP avec sauvegarde dans un journal local :

    filter f_ksmgcef { facility(local2); };

    destination d_ksmgcef_forward { network("10.16.32.64" transport("tcp") port(514)); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_forward); };

    destination d_ksmgcef_logfile { file("/var/log/ksmg-cef-messages"); };

    log { source(s_src); filter(f_ksmgcef); destination(d_ksmgcef_logfile); };

  6. Si vous avez configuré pour enregistrer des copies des événements localement, créez un fichier journal /var/log/ksmg-cef-messages et configurez ses autorisations. Pour ce faire, exécutez les commandes :

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  7. Si vous avez configuré l'enregistrement local des copies d'événements, configurez les règles de rotation des fichiers journaux avec les événements exportés. Pour cela, créez un fichier /etc/logrotate.d/ksmg-cef-messages et ajoutez-y les lignes suivantes :

    /var/log/ksmg-cef-messages

    {

      size 500M

      rotate 10

      compress

      missingok

      notifempty

      sharedscripts

      postrotate

        invoke-rc.d syslog-ng reload > /dev/null

      endscript

    }

  8. Redémarrez le service syslog-ng. Pour ce faire, exécutez la commande :

    systemctl restart rsyslog

  9. Vérifiez l'état du service syslog-ng avec la commande :

    systemctl status rsyslog

    L'état pour le service doit être running.

  10. Envoyez un message de test au système SIEM à l'aide de la commande :

    logger -p <catégorie (facility) pour le format CEF>.info Test message

La publication des événements de l'application dans le système SIEM sera configurée.

Haut de page