Настройка сервера источника событий с помощью сервиса syslog-ng

Для передачи событий от сервера в коллектор KUMA используется сервис syslog-ng.

Чтобы настроить передачу событий от сервера в коллектор:

  1. Проверьте, что на сервере источнике событий установлен сервис syslog-ng, выполнив следующую команду:

    systemctl status syslog-ng.service

    Если сервис syslog-ng не установлен на сервере, установите его, выполнив команду в соответствии с вашей системой управления пакетами:

    • Для APT (Debian, Ubuntu):

      apt install syslog-ng

    • Для YUM (CentOS 7, RHEL):

      yum install syslog-ng

    • Для DNF (Fedora, CentOS 8):

      dnf install syslog-ng

    • Для Zypper (openSUSE):

      zypper install syslog-ng

    • Для Pacman (Arch Linux):

      pacman -S syslog-ng

    • Для Snap (если доступно):

      snap install syslog-ng

  2. После установки запустите сервис syslog-ng:

    systemctl enable rsyslog.service

    systemctl start rsyslog.service

  3. Откройте файл параметров /etc/audit/auditd.conf сервиса audit.service и измените значение параметра name_format, присвоив этому параметру значение NONE:

    name_format=NONE

    После изменения параметра перезапустите сервис auditd с помощью команды:

    sudo systemctl restart auditd.service

  4. В папке /etc/syslog-ng создайте файл audit.conf со следующим содержанием в зависимости от используемого протокола:
    • Для отправки событий по протоколу TCP:

      source s_audit_log {

      file("/var/log/audit/audit.log"

      persist-name("s_audit_log_for_siem")

      follow-freq(1)

      program-override("auditd:")

      flags(no-parse));

      };

      log {

      source(s_audit_log);

      destination(d_audit_log);

      };

      # Форматирование сообщений

      template AuditFormat {

      template("<${PRI}>${ISODATE} ${HOST} ${MSG}\n");

      };

      # Передача журналов аудита на указанный адрес коллектора KUMA

      destination d_audit_log {

      tcp("<IP-адрес коллектора KUMA>" port(<порт коллектора KUMA>) persist-name("collector-audit") template(AuditFormat));

      };

    • Для отправки событий по протоколу UDP:

      source s_audit_log {

      file("/var/log/audit/audit.log"

      persist-name("s_audit_log_for_siem")

      follow-freq(1)

      program-override("auditd:")

      flags(no-parse));

      };

      log {

      source(s_audit_log);

      destination(d_audit_log);

      };

      # Форматирование сообщений

      template AuditFormat {

      template("<${PRI}>${ISODATE} ${HOST} ${MSG}\n");

      };

      # Передача журналов аудита на указанный адрес коллектора KUMA

      destination d_audit_log {

      udp("<IP-адрес коллектора KUMA>" port(<порт коллектора KUMA>) persist-name("collector-audit") template(AuditFormat));

      };

  5. Сохраните изменения в файле audit.conf.
  6. Добавьте в конфигурационный файл /etc/syslog-ng/syslog-ng.conf следующую строку:

    @include " audit.conf "

  7. Перезапустите сервис syslog-ng, выполнив следующую команду:

    systemctl restart syslog-ng.service

Сервер источника событий настроен. Данные о событиях передаются с сервера в коллектор KUMA.

В начало