設定將應用程式事件發佈到 SIEM 系統
2024年5月23日
ID 218660
您可以設定將 CEF 格式的事件發佈到外部 SIEM 系統,以及將事件本機儲存在伺服器上的日誌檔案中。如果您不需要在本機儲存檔案,則可以跳過本節說明的第 4、6、7 步。
在您想要將事件發佈到 SIEM 系統的每個叢集節點上執行以下指令。僅在配置事件發布後才啟用 CEF 格式的事件匯出。
要設定將應用程式事件發佈到 SIEM 系統:
- 使用 SSH 私鑰在root 帳戶下連線到 KSMG 虛擬機器的管理主控台。您將進入技術支援模式。
- 建立 /etc/rsyslog.d/ksmg-cef-messages.conf 檔案並向其中新增以下行:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
- 如果您想透過 UDP 將事件傳送至 SIEM 系統,請新增以下行:
local2.* @<SIEM 系統的IP 位址>:<SIEM 系統用於透過 UDP 從 Syslog 接收訊息的連接埠>
如果您想透過 TCP 傳送事件,請新增以下行:
local2.* @<SIEM 系統的IP 位址>:<SIEM 系統用於透過 TCP 從 Syslog 接收訊息的連接埠>
- 如果您想在本機儲存事件,請將以下行新增至檔案中:
local2.* -/var/log/ksmg-cef-messages
- 將下列行新增到檔案的末尾:
local2.* stop
透過 UDP 匯出而不儲存到本機日誌的範例設定檔:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* stop
透過 TCP 匯出並儲存到本機日誌的範例設定檔:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* -/var/log/ksmg-cef-messages
local2.* stop
- 如果您將事件副本配置為保存在本機,請建立 /var/log/ksmg-cef-messages 日誌檔案並配置其存取權限。為此,請執行以下指令:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- 如果您將事件副本配置為儲存在本機,請設定日誌檔案與匯出事件的輪替規則。為此,請建立 /etc/logrotate.d/klms-cef-messages 檔案並向其中新增以下行:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- 重新啟動 rsyslog 服務。為此,執行以下指令:
systemctl restart rsyslog
- 檢查 rsyslog 服務的狀態:
systemctl status rsyslog
狀態必須是running。
- 使用以下命令向 SIEM 系統傳送測試訊息:
logger -p local2.info 測試訊息
將設定向 SIEM 系統發佈應用程式事件。