Comment configurer Prisma SaaS Syslog Monitoring.
5352
Created On 11/14/20 01:31 AM - Last Modified 11/27/24 22:07 PM
Objective
Sur le serveur Syslog, le client a besoin d’auto-créer SSL le fichier certificat, et assurez-vous TLS que le est activé en config. TLS options doivent se définir à: peer-verify (facultatif-non confiance)
Cette documentation décrit les détails de la procédure.
Procedure
Afin de communiquer la TLS pensée, le client doit s’auto-signer son serveur et créer un SSL certificat.
Il y a trois étapes pour cette procédure.
A .) Ligne de commande créer CA
B .) Ligne de commande créer certificat serveur
C .) Configurer le serveur syslog-ng
A .) Ligne de commande CA
créer 1.On le serveur syslog-ng, créer un CA dossier
$ cd /etc/syslog-ng $ mkdir CA $ cd CA2. Créez quelques répertoires et donnez des valeurs de démarrage à certains fichiers de support :
$ mkdir certs crl newcerts private $ echo "01" > serial $ cp /dev/null index.txt3. Copie openssl.conf à l’annuaire actuel. Selon vos distributions, l’annuaire source peut être différent, alors consultez la liste des fichiers dans le package OpenSSL avant de copier :
$ cp /etc/ssl/openssl.cnf openssl.cnf4. Modifier openssl.conf dans l’annuaire actuel:
$ vi openssl.cnf5. Recherchez la partie suivante et remplacez ./DemoCA par un seul point :
[ CA_default ] dir = ./demoCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept change to [ CA_default ] dir = . # Where everything is kept certs = $dir/certs # Where the issued certs are kept
6. Générer le certificat pour le CA :
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 365 -config openssl.cnf
B.) La ligne de commande crée un
certificat serveur Créer et signer un certificat pour votre serveur syslog-ng.
Le nom commun doit contenir FQDN l’adresse IP ou l’adresse de votre serveur, et l’adresse e-mail doit être laissée vide.
openssl req -nodes -new -x509 -keyout serverkey.pem -out serverreq.pem -days 365 -config openssl.cnf openssl x509 -x509toreq -in serverreq.pem -signkey serverkey.pem -out tmp.pem openssl ca -config openssl.cnf -policy policy_anything -out servercert.pem -infiles tmp.pemC.) Configurer le serveur syslog-ng
1.Créez deux nouveaux répertoires :
$ mkdir cert.d ca.d2. Copier serverkey.pem et servercert.pem à cert.d. Copiez cacert.pem à ca.d et émettent la commande suivante sur le certificat :
$ cp serverkey.pem cert.d/serverkey.pem $ cp servercert.pem cert.d/servercert.pem $ cp cacert.pem ca.d/cacert.pem $ cd ca.d $ openssl x509 -noout -hash -in cacert.pem hash123456Le résultat est un hachage (par exemple hash123456), une série de caractères alphanumériques basés sur le nom distingué du certificat.
3. créer un lien symbolique vers le certificat qui utilise le hachage retourné par la commande précédente et le suffixe .0.
$ ln -s cacert.pem hash123456.04. Modifier /etc/syslog-ng/syslog-ng.conf. Ajouter de la source dans le fichier conf
source s_aperture {
network(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};Ajouter la destination dans le fichier conf
destination d_aperture { file("/var/log/aperture.log"); };Ajouter l’action de journal dans le fichier conf
log { source(s_aperture); destination(d_aperture); };Note: Dans le cadre des essais de sonde publicapi, nous nous Aperture approvisionnons en journaux à partir du port 6514 et les annexons à destination /var/log/syslog. Lorsque vous faites cela, il n’est pas nécessaire de configurer une destination distincte dans /var/log/ aperture .log. Nous pouvons utiliser directement la destination d_syslog pour nous annexer à ce fichier.
log { source(s_aperture); destination(d_syslog); };5. Si vous souhaitez utiliser le IETF- protocole syslog:
source s_aperture {
syslog(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};6. Redémarrer syslog-ng$ sudo /etc/init.d/syslog-ng restart [ ok ] Restarting syslog-ng (via systemctl): syslog-ng.service.Maintenant, tous les messages syslog reçus du réseau si le port 6514 sera enregistré dans /var/log/ aperture .log.