So konfigurieren Sie Prisma SaaS Syslog Monitoring.
5344
Created On 11/14/20 01:31 AM - Last Modified 11/27/24 22:07 PM
Objective
Auf dem Syslog-Server müssen Kunden eine SSL Selbsterstellungszertifikatdatei erstellen, und stellen Sie sicher, dass die TLS in config aktiviert ist. TLS Optionen müssen auf: peer-verify(optional-nichttrusted) gesetzt
werden. Diese Dokumentation beschreibt die Details für das Verfahren.
Procedure
Um Gedanken zu TLS kommunizieren, muss der Kunde seinen Server selbst signieren und ein SSL Zertifikat erstellen.
Es gibt drei Schritte für dieses Verfahren.
A .) Befehlszeile erstellen CA
B .) Befehlszeile erstellen Serverzertifikat
C .) Konfigurieren des syslog-ng-Servers
A .) Befehlszeile erstellen CA
1.Erstellen Sie auf dem syslog-ng-Server einen CA Ordner
$ cd /etc/syslog-ng $ mkdir CA $ cd CA2. Erstellen Sie einige Verzeichnisse und geben Sie Startwerte für einige Support-Dateien:
$ mkdir certs crl newcerts private $ echo "01" > serial $ cp /dev/null index.txt3. Kopieren Sie openssl.conf in das aktuelle Verzeichnis. Je nach Verteilung kann das Quellverzeichnis unterschiedlich sein, also überprüfen Sie die Liste der Dateien im OpenSSL-Paket, bevor Sie kopieren:
$ cp /etc/ssl/openssl.cnf openssl.cnf4. Editieren Sie openssl.conf im aktuellen Verzeichnis:
$ vi openssl.cnf5. Suchen Sie nach dem folgenden Teil und ersetzen Sie ./DemoCA durch einen einzigen Punkt:
[ CA_default ] dir = ./demoCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept change to [ CA_default ] dir = . # Where everything is kept certs = $dir/certs # Where the issued certs are kept
6. Generieren Sie das Zertifikat CA für:
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 365 -config openssl.cnf
B.) Befehlszeile erstellen Serverzertifikat
Erstellen und Signieren eines Zertifikats für Ihren syslog-ng-Server.
Der allgemeine Name sollte die FQDN IP Oder-Adresse ihres Servers enthalten, und die E-Mail-Adresse sollte leer bleiben.
openssl req -nodes -new -x509 -keyout serverkey.pem -out serverreq.pem -days 365 -config openssl.cnf openssl x509 -x509toreq -in serverreq.pem -signkey serverkey.pem -out tmp.pem openssl ca -config openssl.cnf -policy policy_anything -out servercert.pem -infiles tmp.pemC.) Konfigurieren des syslog-ng-Servers
1.Erstellen Sie zwei neue Verzeichnisse:
$ mkdir cert.d ca.d2. Kopieren Sie serverkey.pem und servercert.pem in cert.d. Kopieren Sie cacert.pem in ca.d, und geben Sie den folgenden Befehl auf dem Zertifikat aus:
$ cp serverkey.pem cert.d/serverkey.pem $ cp servercert.pem cert.d/servercert.pem $ cp cacert.pem ca.d/cacert.pem $ cd ca.d $ openssl x509 -noout -hash -in cacert.pem hash123456Das Ergebnis ist ein Hash (z. B. hash123456), eine Reihe von alphanumerischen Zeichen, die auf dem Distinguished Name des Zertifikats basieren.
3. Erstellen Sie einen symbolischen Link zum Zertifikat, das den vom vorherigen Befehl zurückgegebenen Hash und das Suffix .0 verwendet.
$ ln -s cacert.pem hash123456.04. Ändern /etc/syslog-ng/syslog-ng.conf. Quelle in die Conf-Datei hinzufügen
source s_aperture {
network(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};Hinzufügen eines Ziels zur Conf-Datei
destination d_aperture { file("/var/log/aperture.log"); };Hinzufügen einer Protokollaktion zur Conf-Datei
log { source(s_aperture); destination(d_aperture); };Hinweis : Im Rahmen der publicapi-Testtests beziehen wir Aperture Protokolle von Port 6514 und fügen sie an das Ziel /var/log/syslogan. Dazu ist es nicht erforderlich, ein separates Ziel in /var/log/ aperture .logeinzurichten. Wir können das vorhandene d_syslog Ziel direkt verwenden, um diese Datei anzuhängen.
log { source(s_aperture); destination(d_syslog); };5. Wenn Sie IETF- das syslog-Protokoll verwenden möchten:
source s_aperture {
syslog(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};6. Starten Sie syslog-ng neu$ sudo /etc/init.d/syslog-ng restart [ ok ] Restarting syslog-ng (via systemctl): syslog-ng.service.Jetzt werden alle syslog-Nachrichten, die vom Netzwerk über Port 6514 empfangen wurden, in /var/log/ aperture .log gespeichert.