Настройка отправки журналов событий с сервера аудита в стороннюю SIEM#
Собираемые журналы можно перенаправлять с помощью инструментов syslog-ng как с клиентов домена или контроллеров домена, так и с сервера аудита в сторонние SIEM. В разделе не рассматривается настройка отправки журналов событий с клиентов или контроллеров домена, поскольку приведенный ниже файл конфигурации позволяет администратору самостоятельно модифицировать его и реализовать необходимую настройку отправки журналов событий по той схеме, которая отвечает требованиям безопасности в конкретной реализации системы.
Ниже приведен пример файла конфигурации отправки всех файлов, создаваемых в остальных разделах, в стороннюю SIEM, которая установлена на компьютере с IP-адресом 8.8.8.8 и настроена на «прослушивание» следующих портов по заданным протоколам:
Протокол tcp, порт 5154.
Протокол tcp, порт 5155.
Протокол tcp, порт 5156.
Протокол tcp, порт 5157.
Протокол udp, порт 5173.
Для настройки syslog-ng по отправке файлов журналов с сервера аудита в стороннюю SIEM необходимо на сервере аудита (при условии модификации файла конфигурации /etc/syslog-ng/syslog-ng.conf) создать файл /etc/syslog-ng/siem/siem_rules.conf с правами на чтение всем пользователям (644), куда вставить приведенный ниже текст файла конфигурации (параметр follow-freq(10) определяет интервала опроса (в секундах) для каждого конкретного файла службой syslog-ng, в данном случае 1 раз в 10 секунд, этот параметр можно корректировать по необходимости, минимальное значение единица, если задано нулевое значение, то служба syslog-ng будет использовать значение по умолчанию):
#destinations
destination siem_dirsrv {
network("8.8.8.8" transport("tcp") port(5154) flags(syslog-protocol)template("${MESSAGE}\n"));
};
destination siem_krb5kdc {
network("8.8.8.8" transport("tcp") port(5155) flags(syslog-protocol)template("${MESSAGE}\n"));
};
destination siem_samba {
network("8.8.8.8" transport("tcp") port(5156) flags(syslog-protocol)template("${MESSAGE}\n"));
};
destination siem_bind {
network("8.8.8.8" transport("tcp") port(5157) flags(syslog-protocol)template("${MESSAGE}\n"));
};
destination siem_audit {
network("8.8.8.8" transport("udp") port(5154) flags(syslog-protocol)template("${MESSAGE}\n"));
};
#sources
source aldpro_access {
file(
"/var/log/aldpro/access_dirsrv.log" follow-freq(10)
flags(no-parse)
);
};
source aldpro_audit {
file(
"/var/log/aldpro/audit_dirsrv.log" follow-freq(10)
flags(no-parse)
);
};
source aldpro_security {
file(
"/var/log/aldpro/security_dirsrv.log" follow-freq(10)
flags(no-parse)
);
};
source aldpro_errors {
file(
"/var/log/aldpro/errors_dirsrv.log" follow-freq(10)
flags(no-parse)
);
};
source aldpro_krb5kdc {
file(
"/var/log/aldpro/krb_audit.log" follow-freq(10)
flags(no-parse)
);
};
source aldpro_samba {
file(
"/var/log/aldpro/samba.log" follow-freq(10)
flags(no-parse)
);
};
source aldpro_bind {
file(
"/var/log/aldpro/dnszone.log" follow-freq(10)
flags(no-parse)
);
};
source aldpro_ldap {
file(
"/var/log/aldpro/ldapconnect.log" follow-freq(10)
flags(no-parse)
);
};
source aldpro_userproc {
file(
"/var/log/aldpro/userproc.log" follow-freq(10)
flags(no-parse)
);
};
#logs
log {
source(aldpro_access);
destination(siem_dirsrv);
};
log {
source(aldpro_audit);
destination(siem_dirsrv);
};
log {
source(aldpro_security);
destination(siem_dirsrv);
};
log {
source(aldpro_errors);
destination(siem_dirsrv);
};
log {
source(aldpro_krb5kdc);
destination(siem_krb5kdc);
};
log {
source(aldpro_samba);
destination(siem_samba);
};
log {
source(aldpro_bind);
destination(siem_bind);
};
log {
source(aldpro_ldap);
destination(siem_audit);
};
log {
source(aldpro_userproc);
destination(siem_audit);
};
Затем необходимо заменить настройки пунктов назначения для файлов журналов (раздел #destinations) на актуальные в системе, и в случае коррекции наименований и отправки данных на меньшее или большее количество точек отправки, необходимо изменить в разделе #logs соответствующие записи.
После выполнения действий необходимо перезапустить службу syslog-ng на сервере аудита с помощью команды:
systemctl restart syslog-ng