Настройка Syslog-сервера для отправки событий

Для передачи событий от сервера в KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлена PostgreSQL, в коллектор:

1. Чтобы проверить, что на сервере источника событий установлен сервис rsyslog, выполните следующую команду под учетной записью с правами администратора:

   sudo systemctl status rsyslog.service

   Если сервис rsyslog не установлен на сервере, установите его, выполнив следующие команды:

   yum install rsyslog

   sudo systemctl enable rsyslog.service

   sudo systemctl start rsyslog.service

2. В директории /etc/rsyslog.d/ создайте файл pgsql-to-siem.conf со следующим содержанием:

   If $programname contains 'Postgres' then @<IP-адрес коллектора>:<порт коллектора>

   Например:

   If $programname contains 'Postgres' then @192.168.1.5:1514

   Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:
   If $programname contains 'Postgres' then @@<IP-адрес коллектора>:<порт коллектора>

   Сохраните изменения в конфигурационном файле pgsql-to-siem.conf.

3. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

   $IncludeConfig /etc/pgsql-to-siem.conf

   $RepeatedMsgReduction off

   Сохраните изменения в конфигурационном файле /etc/rsyslog.conf.

4. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service