Configurando a publicação de eventos de aplicativo para um sistema SIEM
23 de maio de 2024
ID 218660
Você pode configurar a publicação de eventos no formato CEF para um sistema SIEM externo, assim como salvar os eventos localmente em arquivos de log no servidor. Se você não precisa salvar os arquivos localmente, pode ignorar as etapas 4 a 7 das instruções desta seção.
Siga as etapas abaixo em cada node do cluster cujos eventos se deseja publicar em um sistema SIEM. Ative a exportação de eventos no formato CEF somente depois de configurar a publicação de eventos.
Para configurar a publicação de eventos de aplicativo em um sistema SIEM:
- Conecte-se ao console de gerenciamento da máquina virtual do KSMG sob a conta raiz usando uma chave SSH privada. Você entrará no modo suporte técnico.
- Crie o arquivo /etc/rsyslog.d/ksmg-cef-messages.conf e adicione as seguintes linhas:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
- Se quiser enviar eventos para um sistema SIEM por UDP, adicione a seguinte linha:
local2.* @<endereço IP do sistema SIEM>:<porta usada pelo sistema SIEM para receber as mensagens do Syslog via UDP>
Se quiser enviar eventos por TCP, adicione a seguinte linha:
local2.* @<endereço IP do sistema SIEM>:<porta usada pelo sistema SIEM para receber as mensagens do Syslog via TCP>
- Se quiser salvar eventos localmente, adicione a seguinte linha ao arquivo:
local2.* -/var/log/ksmg-cef-messages
- Adicione as seguintes linhas ao final do arquivo:
local2.* stop
Exemplo de arquivo de configuração para exportar por UDP sem salvar no log local:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* stop
Exemplo de arquivo de configuração para exportar por TCP com salvamento no log local:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* -/var/log/ksmg-cef-messages
local2.* stop
- Se você configurou cópias de eventos para serem salvas localmente, crie o arquivo de log /var/log/ksmg-cef-messages e configure suas permissões de acesso. Para fazer isso, execute os comandos:
toque em /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Se você configurou cópias de eventos para serem salvas localmente, configure as regras para rotação de arquivos de log com eventos exportados. Para isso, crie o arquivo /etc/logrotate.d/ksmg-cef-messages e adicione as seguintes linhas:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:
systemctl restart rsyslog
- Verifique o status do serviço rsyslog:
systemctl status rsyslog
O status deve ser em execução.
- Envie uma mensagem de teste para o sistema SIEM usando o seguinte comando:
logger -p local2.info Mensagem de teste
A publicação dos eventos do aplicativo para o sistema SIEM será configurada.