Configurando a publicação de eventos de aplicativo para um sistema SIEM

Você pode configurar a publicação de eventos no formato CEF para um sistema SIEM externo, assim como salvar os eventos localmente em arquivos de log no servidor. Se você não precisa salvar os arquivos localmente, pode ignorar as etapas 4 a 7 das instruções desta seção.

Siga as etapas abaixo em cada node do cluster cujos eventos se deseja publicar em um sistema SIEM. Ative a exportação de eventos no formato CEF somente depois de configurar a publicação de eventos.

Para configurar a publicação de eventos de aplicativo em um sistema SIEM:

1. Conecte-se ao console de gerenciamento da máquina virtual do KSMG sob a conta raiz usando uma chave SSH privada. Você entrará no modo suporte técnico.
2. Crie o arquivo /etc/rsyslog.d/ksmg-cef-messages.conf e adicione as seguintes linhas:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

3. Se quiser enviar eventos para um sistema SIEM por UDP, adicione a seguinte linha:

   local2.* @<endereço IP do sistema SIEM>:<porta usada pelo sistema SIEM para receber as mensagens do Syslog via UDP>

   Se quiser enviar eventos por TCP, adicione a seguinte linha:

   local2.* @<endereço IP do sistema SIEM>:<porta usada pelo sistema SIEM para receber as mensagens do Syslog via TCP>

4. Se quiser salvar eventos localmente, adicione a seguinte linha ao arquivo:

   local2.* -/var/log/ksmg-cef-messages

5. Adicione as seguintes linhas ao final do arquivo:

   local2.* stop

   Exemplo de arquivo de configuração para exportar por UDP sem salvar no log local: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* stop Exemplo de arquivo de configuração para exportar por TCP com salvamento no log local: $ActionQueueFileName ForwardToSIEM2 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local2.* @10.16.32.64:514 local2.* -/var/log/ksmg-cef-messages local2.* stop

6. Se você configurou cópias de eventos para serem salvas localmente, crie o arquivo de log /var/log/ksmg-cef-messages e configure suas permissões de acesso. Para fazer isso, execute os comandos:

   toque em /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

7. Se você configurou cópias de eventos para serem salvas localmente, configure as regras para rotação de arquivos de log com eventos exportados. Para isso, crie o arquivo /etc/logrotate.d/ksmg-cef-messages e adicione as seguintes linhas:

   /var/log/ksmg-cef-messages

   {

     size 500M

     rotate 10

     compress

     missingok

     notifempty

     sharedscripts

     postrotate

     /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

     endscript

   }

8. Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:

   systemctl restart rsyslog

9. Verifique o status do serviço rsyslog:

   systemctl status rsyslog

   O status deve ser em execução.

10. Envie uma mensagem de teste para o sistema SIEM usando o seguinte comando:

    logger -p local2.info Mensagem de teste

A publicação dos eventos do aplicativo para o sistema SIEM será configurada.