Настройка передачи событий Sendmail

Для передачи событий от сервера, на котором установлен почтовый агент Sendmail, в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий Sendmail в коллектор:

1. Подключитесь к серверу, на котором установлен Sendmail, под учётной записью с административными привилегиями.
2. В директории /etc/rsyslog.d/ создайте файл Sendmail-to-siem.conf и добавьте в него строку:

   If $programname contains 'sendmail' then @<<IP-адрес коллектора>:<порт коллектора>>

   Пример: If $programname contains 'sendmail' then @192.168.1.5:1514

   Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

   If $programname contains 'sendmail' then @@<<IP-адрес коллектора>:<порт коллектора>>

3. Создайте резервную копию файла /etc/rsyslog.conf.
4. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

   $IncludeConfig /etc/Sendmail-to-siem.conf

   $RepeatedMsgReduction off

5. Сохраните внесённые изменения.
6. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service