配置将应用程序事件发布到 SIEM 系统
2024年5月23日
ID 218660
您可以配置将 CEF 格式的事件发布到外部 SIEM 系统,以及将事件本地保存在服务器上的日志文件中。如果您不需要在本地保存文件,则可以跳过本节说明的第 4、6、7 步。
在您想要将事件发布到 SIEM 系统的每个集群节点上执行以下步骤。仅在配置事件发布后才启用 CEF 格式的事件导出。
要配置将应用程序事件发布到 SIEM 系统:
- 使用 SSH 私钥在 root 账户下连接到 KSMG 虚拟机的管理控制台。您将进入技术支持模式。
- 创建 /etc/rsyslog.d/ksmg-cef-messages.conf 文件并向其中添加以下行:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
- 如果您想通过 UDP 将事件发送到 SIEM 系统,请添加以下行:
local2.* @<SIEM 系统的 IP 地址>:<SIEM 系统用于通过 UDP 从 Syslog 接收消息的端口>
如果您想通过 TCP 发送事件,请添加以下行:
local2.* @<SIEM 系统的 IP 地址>:<SIEM 系统用于通过 TCP 从 Syslog 接收消息的端口>
- 如果您想在本地保存事件,请将以下行添加到文件中:
local2.* -/var/log/ksmg-cef-messages
- 将下列行添加到文件的末尾:
local2.* stop
通过 UDP 导出而不保存到本地日志的示例配置文件:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* stop
通过 TCP 导出并保存到本地日志的示例配置文件:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* -/var/log/ksmg-cef-messages
local2.* stop
- 如果您将事件副本配置为保存在本地,请创建 /var/log/ksmg-cef-messages 日志文件并配置其访问权限。为此,请执行以下命令:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- 如果您将事件副本配置为保存在本地,请配置日志文件与导出事件的轮换规则。为此,请创建 /etc/logrotate.d/klms-cef-messages 文件并向其中添加以下行:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- 重新启动rsyslog 服务。为此,请运行以下命令:
systemctl restart rsyslog
- 检查 rsyslog 服务的状态:
systemctl status rsyslog
状态必须是running。
- 使用以下命令向 SIEM 系统发送测试消息:
logger -p local2.info 测试消息
将配置向 SIEM 系统发布应用程序事件。