Настройка публикации событий приложения в SIEM-систему
03 июля 2024
ID 218660
Вы можете настроить публикацию событий в формате CEF во внешнюю SIEM-систему и сохранение событий локально в файлы журналов на сервере. Если сохранять события локально не требуется, пропустите шаги 5, 7, 8 инструкции этого раздела.
Выполните шаги по настройке публикации событий на каждом узле кластера, события с которого вы хотите публиковать в SIEM-систему. Только после настройки публикации событий следует включать экспорт событий в формате CEF.
Чтобы настроить публикацию событий приложения в SIEM-систему:
- Запустите командную оболочку операционной системы на узле кластера для выполнения команд с полномочиями суперпользователя (администратора системы).
- События передаются во внешнюю SIEM-систему с помощью системной службы ведения журналов rsyslog. Убедитесь, что служба установлена и запущена, с помощью команды:
systemctl status rsyslog
Статус службы должен быть running.
Если служба rsyslog не запущена или отсутствует, установите и активируйте службу rsyslog согласно документации вашей операционной системы.
- Создайте файл /etc/rsyslog.d/ksmg-cef-messages.conf и добавьте в него следующие строки:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
- Если вы хотите передавать события в SIEM-систему по протоколу UDP, добавьте строку:
<категория (facility) для формата CEF>.* @<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу UDP>
Если вы хотите передавать события по протоколу TCP, добавьте строку:
<категория (facility) для формата CEF>.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>
- Если вы хотите сохранять копии событий локально, добавьте в тот же файл строку:
<категория (facility) для формата CEF>.* -/var/log/ksmg-cef-messages
- В конец файла добавьте строку:
<категория (facility) для формата CEF>.* stop
Пример конфигурационного файла для экспорта по протоколу UDP без сохранения в локальный журнал:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* stop
Пример конфигурационного файла для экспорта по протоколу TCP с сохранением в локальный журнал:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @@10.16.32.64:514
local2.* -/var/log/ksmg-cef-messages
local2.* stop
- Если вы настроили локальное сохранение копий событий, создайте файл журнала /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Если вы настроили локальное сохранение копий событий, настройте правила ротации файлов журналов с экспортированными событиями. Для этого создайте файл /etc/logrotate.d/ksmg-cef-messages и добавьте в него следующие строки:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Перезапустите службу rsyslog. Для этого выполните команду:
systemctl restart rsyslog
- Проверьте статус службы rsyslog c помощью команды:
systemctl status rsyslog
Статус должен быть running.
- Отправьте тестовое сообщение в SIEM-систему при помощи команды:
logger -p <категория (facility) для формата CEF>.info Test message
Публикация событий приложения в SIEM-систему будет настроена.