Syslog 監視を構成する方法 Prisma SaaS 。
4426
Created On 11/14/20 01:31 AM - Last Modified 11/27/24 22:07 PM
Objective
Syslog サーバーでは、お客様は自己作成 SSL 証明書ファイルを必要とし、 が TLS 構成で有効になっていることを確認します。 TLS オプションを設定する必要があります: ピア検証 (オプション- 信頼されていない)
このドキュメントでは、手順の詳細について説明します。
Procedure
考えを伝えるために TLS は、顧客は自分のサーバーに自己署名し、証明書を作成する必要があります SSL 。
この手順には 3 つの手順があります
A 。 コマンド ラインの作成 CA
B .)コマンド ライン作成サーバー証明書
C .)syslog-ng サーバーの構成
Aコマンドラインで CA
作成 1.syslog-ng サーバーで、フォルダーを作成します。 CA
$ cd /etc/syslog-ng $ mkdir CA $ cd CA2. いくつかのディレクトリを作成し、いくつかのサポートファイルに開始値を与えます。
$ mkdir certs crl newcerts private $ echo "01" > serial $ cp /dev/null index.txt3. openssl.conf を現在のディレクトリにコピーします。 ディストリビューションによっては、ソース ディレクトリが異なる場合があるため、コピーする前に OpenSSL パッケージ内のファイルの一覧を確認してください。
$ cp /etc/ssl/openssl.cnf openssl.cnf4. 現在のディレクトリで openssl.conf を編集します。
$ vi openssl.cnf5. 次の部分を検索し 、./DemoCA を単一のドットで置き換えます。
[ CA_default ] dir = ./demoCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept change to [ CA_default ] dir = . # Where everything is kept certs = $dir/certs # Where the issued certs are kept
6. の証明書を生成します CA 。
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 365 -config openssl.cnf
B.)コマンドラインサーバー証明書を作成
syslog-ng サーバーの証明書を作成して署名します。
共通名には FQDN IP 、サーバーの アドレスまたは アドレスを含め、電子メール アドレスは空白のままにする必要があります。
openssl req -nodes -new -x509 -keyout serverkey.pem -out serverreq.pem -days 365 -config openssl.cnf openssl x509 -x509toreq -in serverreq.pem -signkey serverkey.pem -out tmp.pem openssl ca -config openssl.cnf -policy policy_anything -out servercert.pem -infiles tmp.pemC.)syslog-ng サーバー 1 を構成します
。2 つの新しいディレクトリを作成します。
$ mkdir cert.d ca.d2. サーバーキー.pem と サーバーcert.pem を cert.dにコピーします。 cacert.pem を ca.d にコピーし、証明書に対して次のコマンドを発行します。
$ cp serverkey.pem cert.d/serverkey.pem $ cp servercert.pem cert.d/servercert.pem $ cp cacert.pem ca.d/cacert.pem $ cd ca.d $ openssl x509 -noout -hash -in cacert.pem hash123456結果はハッシュ (例えば hash123456) であり、証明書の識別名に基づく一連の英数字です。
3. 前のコマンドと .0 サフィックスによって返されたハッシュを使用する証明書へのシンボリック リンクを作成します。
$ ln -s cacert.pem hash123456.04. /etc/syslog-ng/syslog-ng.confを変更します。 conf ファイルにソースを追加する
source s_aperture {
network(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};conf ファイルに宛先を追加する
destination d_aperture { file("/var/log/aperture.log"); };conf ファイルにログアクションを追加する
log { source(s_aperture); destination(d_aperture); };注: publicapi プローブテストの一部として、 Aperture ポート 6514 からログをソースし、それらを宛先 /var/log/syslogに追加します。 この場合 、/var/log/ aperture .logで別の宛先を設定する必要はありません。 既存の d_syslog の追加先を直接使用して、そのファイルに追加できます。
log { source(s_aperture); destination(d_syslog); };5. syslog プロトコルを使用する場合 IETF- :
source s_aperture {
syslog(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};6. syslog-ng を再起動します。$ sudo /etc/init.d/syslog-ng restart [ ok ] Restarting syslog-ng (via systemctl): syslog-ng.service.ポート 6514 を使用してネットワークから受信したすべての syslog メッセージが /var/log/ .logに保存されるようになりました aperture 。