Содержание

Вы можете настроить получение событий из почтового агента Sendmail в

KUMA.

Настройка получения событий состоит из следующих этапов:

Настройка журналирования Sendmail.
Настройка сервера источника событий.
Создание коллектора KUMA.
Для получения событий Sendmail в мастере установки коллектора используйте следующие значения:
- На шаге Парсинг событий выберите нормализатор [OOTB] Sendmail syslog.
- На шаге Транспорт выберите тип коннектора tcp или udp.
Установка коллектора KUMA.
Проверка поступления событий Sendmail в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Sendmail выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

По умолчанию события системы Sendmail записываются в syslog.

Чтобы убедиться в правильности настройки журналирования:

Если журналирование настроено корректно, вы можете перейти к настройке передачи событий Sendmail.

Для передачи событий от сервера, на котором установлен почтовый агент Sendmail, в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий Sendmail в коллектор:

Подключитесь к серверу, на котором установлен Sendmail, под учетной записью с административными привилегиями.
В директории /etc/rsyslog.d/ создайте файл Sendmail-to-siem.conf и добавьте в него строку:
If $programname contains 'sendmail' then @<<IP-адрес коллектора>:<порт коллектора>>

Пример:

If $programname contains 'sendmail' then @192.168.1.5:1514

Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

If $programname contains 'sendmail' then @@<<IP-адрес коллектора>:<порт коллектора>>
Создайте резервную копию файла /etc/rsyslog.conf.
В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:
$IncludeConfig /etc/Sendmail-to-siem.conf

$RepeatedMsgReduction off
Сохраните внесенные изменения.
Перезапустите сервис rsyslog, выполнив следующую команду:
sudo systemctl restart rsyslog.service