Настройка публикации событий приложения в SIEM-систему

Вы можете настроить публикацию событий в формате CEF во внешнюю SIEM-систему и сохранение событий локально в файлы журналов на сервере. Если сохранять события локально не требуется, пропустите шаги 5, 7, 8 инструкции этого раздела.

Выполните шаги по настройке публикации событий на каждом узле кластера, события с которого вы хотите публиковать в SIEM-систему. Только после настройки публикации событий следует включать экспорт событий в формате CEF.

Чтобы настроить публикацию событий приложения в SIEM-систему:

1. Запустите командную оболочку операционной системы на узле кластера для выполнения команд с полномочиями суперпользователя (администратора системы).
2. События передаются во внешнюю SIEM-систему с помощью системной службы ведения журналов rsyslog. Убедитесь, что служба установлена и запущена, с помощью команды:

   systemctl status rsyslog

   Статус службы должен быть running.

   Если служба rsyslog не запущена или отсутствует, установите и активируйте службу rsyslog согласно документации вашей операционной системы.

3. Создайте файл /etc/rsyslog.d/ksmg-cef-messages.conf и добавьте в него следующие строки:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

4. Если вы хотите передавать события в SIEM-систему по протоколу UDP, добавьте строку:

   <категория (facility) для формата CEF>.* @<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу UDP>

   Если вы хотите передавать события по протоколу TCP, добавьте строку:

   <категория (facility) для формата CEF>.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>

5. Если вы хотите сохранять копии событий локально, добавьте в тот же файл строку:

   <категория (facility) для формата CEF>.* -/var/log/ksmg-cef-messages

6. В конец файла добавьте строку:

   <категория (facility) для формата CEF>.* stop

   Пример конфигурационного файла для экспорта по протоколу UDP без сохранения в локальный журнал: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Пример конфигурационного файла для экспорта по протоколу TCP с сохранением в локальный журнал: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @@10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

7. Если вы настроили локальное сохранение копий событий, создайте файл журнала /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

8. Если вы настроили локальное сохранение копий событий, настройте правила ротации файлов журналов с экспортированными событиями. Для этого создайте файл /etc/logrotate.d/ksmg-cef-messages и добавьте в него следующие строки:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

9. Перезапустите службу rsyslog. Для этого выполните команду:

   systemctl restart rsyslog

10. Проверьте статус службы rsyslog c помощью команды:

    systemctl status rsyslog

    Статус должен быть running.

11. Отправьте тестовое сообщение в SIEM-систему при помощи команды:

    logger -p <категория (facility) для формата CEF>.info Test message

Публикация событий приложения в SIEM-систему будет настроена.