如何配置 Prisma SaaS 赛斯洛监控。
5426
Created On 11/14/20 01:31 AM - Last Modified 11/27/24 22:07 PM
Objective
在 Syslog 服务器上,客户需要自行创建 SSL 证书文件,并确保 TLS 在配置中启用。 TLS 选项需要设置为:对等验证(可选不信任)
此文档描述了该过程的详细信息。
Procedure
为了传达思想 TLS ,客户必须自行签署服务器并创建 SSL 证书。
此过程有三个步骤。
A 。 命令行创建 CA
B 。)命令行创建服务器证书
C 。配置syslog-ng服务器
A 。命令行 CA
在系统日志-ng服务器上创建1.创建 CA 文件夹
$ cd /etc/syslog-ng $ mkdir CA $ cd CA2. 创建几个目录,并给某些支持文件提供起始值:
$ mkdir certs crl newcerts private $ echo "01" > serial $ cp /dev/null index.txt3. 将 openssl.conf 复制到当前目录。 根据您的发行版,源目录可能不同,因此在复制之前请检查 OpenSSL 包中的文件列表:
$ cp /etc/ssl/openssl.cnf openssl.cnf4. 编辑当前目录中的 openssl.conf:
$ vi openssl.cnf5. 搜索以下部分,用单个点替换 ./DemoCA:
[ CA_default ] dir = ./demoCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept change to [ CA_default ] dir = . # Where everything is kept certs = $dir/certs # Where the issued certs are kept
6. 生成 CA 证书:
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 365 -config openssl.cnf
B.)命令行创建服务器证书
创建并签署系统-ng服务器的证书。
通用名称应包含 FQDN IP 服务器的或地址,电子邮件地址应留空。
openssl req -nodes -new -x509 -keyout serverkey.pem -out serverreq.pem -days 365 -config openssl.cnf openssl x509 -x509toreq -in serverreq.pem -signkey serverkey.pem -out tmp.pem openssl ca -config openssl.cnf -policy policy_anything -out servercert.pem -infiles tmp.pemC.)配置syslog-ng服务器
1。创建两个新目录:
$ mkdir cert.d ca.d2. 将服务器密钥.pem 和服务器证书.pem 复制到证书.d.将 cacert.pem 复制到 ca.d 并在证书上发出以下命令:
$ cp serverkey.pem cert.d/serverkey.pem $ cp servercert.pem cert.d/servercert.pem $ cp cacert.pem ca.d/cacert.pem $ cd ca.d $ openssl x509 -noout -hash -in cacert.pem hash123456结果是哈希(例如 hash123456),这是一系列基于证书的可分辨名称的字母数字字符。
3. 创建一个符号链接到证书,该证书使用上一个命令和 .0 后 缀返回的哈希。
$ ln -s cacert.pem hash123456.04. 修改 /etc/syslog-ng/syslog-ng.conf. 将源添加到 conf 文件中
source s_aperture {
network(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};将目标添加到 conf 文件中
destination d_aperture { file("/var/log/aperture.log"); };将日志操作添加到 conf 文件中
log { source(s_aperture); destination(d_aperture); };注意:作为公共探针测试的一部分,我们从 Aperture 端口 6514 源日志并将其附加到目的地/var/日志/syslog。 这样做时,无需在 /var/日志 aperture /.log中设置单独的目的地。 我们可以直接使用现有的 d_syslog 目的地来附加该文件。
log { source(s_aperture); destination(d_syslog); };5. 如果您想使用 IETF- syslog协议:
source s_aperture {
syslog(ip(0.0.0.0) port(6514)
transport("tls")
tls(
key_file("/etc/syslog-ng/CA/cert.d/serverkey.pem")
cert_file("/etc/syslog-ng/CA/cert.d/servercert.pem")
ca_dir("/etc/syslog-ng/CA/ca.d")
peer-verify(optional-untrusted))
);
};6. 重新启动系统日志- ng$ sudo /etc/init.d/syslog-ng restart [ ok ] Restarting syslog-ng (via systemctl): syslog-ng.service.现在,通过端口 6514 从网络收到的所有 syslog 消息都将保存在 /var/log/.log aperture 中。