Настройка передачи событий FreeIPA в KUMA
Чтобы настроить передачу событий FreeIPA в KUMA по протоколу Syslog в формате JSON:
- Подключитесь к серверу FreeIPA по протоколу SSH под учетной записью с правами администратора.
- В директории /etc/rsyslog.d/ создайте файл freeipa-to-siem.conf.
- В конфигурационный файл /etc/rsyslog.d/freeipa-to-siem.conf добавьте следующие строки:
template(name="ls_json" type="list" option.json="on"){ constant(value="{")constant(value="\"@timestamp\":\"") property(name="timegenerated" dateFormat="rfc3339")constant(value="\",\"@version\":\"1")constant(value="\",\"message\":\"") property(name="msg")constant(value="\",\"host\":\"") property(name="fromhost")constant(value="\",\"host_ip\":\"") property(name="fromhost-ip")constant(value="\",\"logsource\":\"") property(name="fromhost")constant(value="\",\"severity_label\":\"") property(name="syslogseverity-text")constant(value="\",\"severity\":\"") property(name="syslogseverity")constant(value="\",\"facility_label\":\"") property(name="syslogfacility-text")constant(value="\",\"facility\":\"") property(name="syslogfacility")constant(value="\",\"program\":\"") property(name="programname")constant(value="\",\"pid\":\"") property(name="procid")constant(value="\",\"syslogtag\":\"") property(name="syslogtag")constant(value="\"}\n")}*.* @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>;ls_jsonВы можете заполнить содержимое последней строки в соответствии с выбранным протоколом:
*.* @<192.168.1.10>:<1514>;ls_json— для отправки событий по протоколу UDP*.* @@<192.168.2.11>:<2514>;ls_json— для отправки событий по протоколу TCP - В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:
$IncludeConfig /etc/freeipa-to-siem.conf$RepeatedMsgReduction off - Сохраните изменения в конфигурационном файле.
- Перезапустите сервис rsyslog, выполнив следующую команду:
sudo systemctl restart rsyslog.service
