Kaspersky Unified Monitoring and Analysis Platform
3.2
Русский

Содержание

Настройка передачи событий FreeIPA в KUMA

Чтобы настроить передачу событий FreeIPA в KUMA по протоколу Syslog в формате JSON:

  1. Подключитесь к серверу FreeIPA по протоколу SSH под учетной записью с правами администратора.
  2. В директории /etc/rsyslog.d/ создайте файл freeipa-to-siem.conf.
  3. В конфигурационный файл /etc/rsyslog.d/freeipa-to-siem.conf добавьте следующие строки:

    $ModLoad imfile

    input(type="imfile"

    File="/var/log/httpd/error_log"

    Tag="tag_FreeIPA_log_httpd")

    input(type="imfile"

    File="/var/log/dirsrv/slapd-*/audit"

    Tag="tag_FreeIPA_log_audit"

    StartMsg.regex="^time:")

    input(type="imfile"

    File="/var/log/dirsrv/slapd-*/errors"

    Tag="tag_FreeIPA_log_errors")

    input(type="imfile"

    File="/var/log/dirsrv/slapd-*/access"

    Tag="tag_FreeIPA_log_access")

    input(type="imfile"

    File="/var/log/krb5kdc.log"

    Tag="tag_FreeIPA_log_krb5kdc")

    template(name="ls_json" type="list" option.json="on") {

    constant(value="{")

    constant(value="\"@timestamp\":\"") property(name="timegenerated" dateFormat="rfc3339")

    constant(value="\",\"@version\":\"1")

    constant(value="\",\"message\":\"") property(name="msg")

    constant(value="\",\"host\":\"") property(name="fromhost")

    constant(value="\",\"host_ip\":\"") property(name="fromhost-ip")

    constant(value="\",\"logsource\":\"") property(name="fromhost")

    constant(value="\",\"severity_label\":\"") property(name="syslogseverity-text")

    constant(value="\",\"severity\":\"") property(name="syslogseverity")

    constant(value="\",\"facility_label\":\"") property(name="syslogfacility-text")

    constant(value="\",\"facility\":\"") property(name="syslogfacility")

    constant(value="\",\"program\":\"") property(name="programname")

    constant(value="\",\"pid\":\"") property(name="procid")

    constant(value="\",\"syslogtag\":\"") property(name="syslogtag")

    constant(value="\"}\n")

    }

    if $syslogtag contains 'tag_FreeIPA_log' then {

    action(type="omfwd"

    target="<IP-адрес коллектора KUMA>"

    port="<порт коллектора KUMA>"

    protocol="<udp или tcp>"

    template="ls_json")

    stop

    }

  4. В конфигурационный файл /etc/rsyslog.conf добавьте следующую строку:

    $RepeatedMsgReduction off

  5. Сохраните изменения в конфигурационном файле.
  6. Перезапустите сервис rsyslog, выполнив следующую команду:

    sudo systemctl restart rsyslog.service

В начало
[Topic 258520]