Cómo configurar Prisma SaaS la supervisión de Syslog.
4420
Created On 11/14/20 01:31 AM - Last Modified 11/27/24 22:07 PM
Objective
En el servidor de Syslog, el cliente necesita auto-crear SSL el archivo de certificado, y aseegurese el está habilitado en la TLS configuración. TLS opciones deben establecerse en: peer-verify(optional-untrusted)
Esta documentación describe los detalles del procedimiento.
Procedure
Para comunicar el TLS pensamiento, el cliente debe firmar por sí mismo su servidor y crear un SSL certificado.
Hay tres pasos para este procedimiento.
A .) Creación de línea de comandos CA
B .) Línea de comandos crear certificado de servidor
C .) Configuración del servidor syslog-ng
A .) Línea de comandos crear CA
1.En el servidor syslog-ng, cree una CA carpeta
$ cd /etc/syslog-ng $ mkdir CA $ cd CA2. Cree algunos directorios y dé valores iniciales a algunos archivos de soporte:
$ mkdir certs crl newcerts private $ echo "01" > serial $ cp /dev/null index.txt3. Copie openssl.conf en el directorio actual. Dependiendo de las distribuciones, el directorio de origen puede ser diferente, así que compruebe la lista de archivos en el paquete OpenSSL antes de copiar:
$ cp /etc/ssl/openssl.cnf openssl.cnf4. Edite openssl.conf en el directorio actual:
$ vi openssl.cnf5. Busque la siguiente parte y reemplace ./DemoCA por un solo punto:
[ CA_default ] dir = ./demoCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept change to [ CA_default ] dir = . # Where everything is kept certs = $dir/certs # Where the issued certs are kept
6. Genere el certificado CA para:
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 365 -config openssl.cnf
B.) La línea de comandos crea el certificado del servidor
Crear y firmar un certificado para su servidor syslog-ng.
El nombre común debe contener la FQDN dirección o dirección del IP servidor, y la dirección de correo electrónico debe dejarse en blanco.
openssl req -nodes -new -x509 -keyout serverkey.pem -out serverreq.pem -days 365 -config openssl.cnf openssl x509 -x509toreq -in serverreq.pem -signkey serverkey.pem -out tmp.pem openssl ca -config openssl.cnf -policy policy_anything -out servercert.pem -infiles tmp.pemC.) Configuración del servidor Syslog-ng
1.Cree dos directorios nuevos:
$ mkdir cert.d ca.d2. Copie serverkey.pem y servercert.pem en cert.d. Copie cacert.pem en ca.d y emita el siguiente comando en el certificado:
$ cp serverkey.pem cert.d/serverkey.pem $ cp servercert.pem cert.d/servercert.pem $ cp cacert.pem ca.d/cacert.pem $ cd ca.d $ openssl x509 -noout -hash -in cacert.pem hash123456El resultado es un hash (por ejemplo hash123456), una serie de caracteres alfanuméricos basados en el nombre distintivo del certificado.
3. cree un vínculo simbólico al certificado que utiliza el hash devuelto por el comando anterior y el sufijo .0.
$ ln -s cacert.pem hash123456.04. Modifique /etc/syslog-ng/syslog-ng.conf. Añadir fuente al archivo conf
source s_aperture {
network(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};Añadir destino al archivo conf
destination d_aperture { file("/var/log/aperture.log"); };Añadir acción de registro en el archivo conf
log { source(s_aperture); destination(d_aperture); };Nota: Como parte de las pruebas de sondeo publicapi, originamos Aperture registros del puerto 6514 y los anexamos al destino /var/log/syslog. Al hacer esto, no es necesario configurar un destino independiente en /var/log/ aperture .log. Podemos usar directamente el destino de d_syslog existente para anexar a ese archivo.
log { source(s_aperture); destination(d_syslog); };5. Si usted quiere utilizar IETF- el protocolo Syslog:
source s_aperture {
syslog(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};6. Reinicie syslog-ng$ sudo /etc/init.d/syslog-ng restart [ ok ] Restarting syslog-ng (via systemctl): syslog-ng.service.Ahora todos los mensajes de Syslog recibidos de la red aunque el puerto 6514 se guardarán en /var/log/ aperture .log.