Настройка сервера источника событий

Для передачи событий от сервера в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера в коллектор:

1. Проверьте, что на сервере источнике событий установлен сервис rsyslog. Для этого выполните следующую команду:

   systemctl status rsyslog.service

   Если сервис rsyslog не установлен на сервере, установите его, выполнив следующую команду:

   yum install rsyslog

   systemctl enable rsyslog.service

   systemctl start rsyslog.service

2. В папке /etc/rsyslog.d создайте файл audit.conf со следующим содержанием:

   $ModLoad imfile

   $InputFileName /var/log/audit/audit.log

   $InputFileTag tag_audit_log:

   $InputFileStateFile audit_log

   $InputFileSeverity info

   $InputFileFacility local6

   $InputRunFileMonitor

   *.* @<ip адрес коллектора KUMA>:<порт коллектора KUMA>

   Если вы хотите отправлять события по протоколу TCP, вместо последней строки в файле вставьте следующую:
   *.* @@<ip адрес коллектора KUMA>:<порт коллектора KUMA>.

3. Сохраните изменения в файле audit.conf.
4. Перезапустите сервис rsyslog, выполнив следующую команду:

   systemctl restart rsyslog.service

Сервер источника событий настроен. Данные о событиях передаются с сервера в коллектор KUMA.