Micro Focus ArcSight Logger عبر Fluentd¶

تزودكم هذه التعليمات بمثال على دمج Wallarm مع جامع البيانات Fluentd لإعادة توجيه الأحداث إلى نظام ArcSight Logger.

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

الدمج مع نسخة Enterprise من ArcSight ESM

لتكوين إعادة توجيه السجلات من Fluentd إلى نسخة Enterprise لـ ArcSight ESM، يُنصح بتكوين موصل Syslog في جانب ArcSight ومن ثم إعادة توجيه السجلات من Fluentd إلى منفذ الموصل. للحصول على وصف أكثر تفصيلاً للموصلات، يُرجى تحميل دليل مستخدم SmartConnector من وثائق ArcSight SmartConnector الرسمية.

الموارد المستخدمة¶

ArcSight Logger 7.1 مع عنوان WEB https://192.168.1.73:443 مثبت على CentOS 7.8
Fluentd مثبت على Debian 11.x (bullseye) ومتاح على https://fluentd-example-domain.com
وصول المسؤول إلى وحدة تحكم Wallarm في سحابة EU لـ تكوين الدمج مع Fluentd

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

بما أن الروابط إلى خدمات ArcSight Logger وFluentd مقتبسة كأمثلة، لا تكون متجاوبة.

تكوين ArcSight Logger¶

تم تهيئة مستقبل السجلات في ArcSight Logger سجلات Wallarm Fluentd كما يلي:

يتم استقبال السجلات عبر UDP (نوع = مستقبل UDP)
منفذ الاستماع هو 514
يتم تحليل الأحداث بواسطة مُحلل ال syslog
الإعدادات الافتراضية الأخرى

للحصول على وصف أكثر تفصيلاً لتكوين المستقبل، يُرجى تحميل دليل تثبيت Logger للنسخة المناسبة من وثائق ArcSight Logger الرسمية.

تكوين Fluentd¶

بما أن Wallarm ترسل السجلات إلى جامع البيانات الوسيط Fluentd عبر webhooks، يجب أن يفي تكوين Fluentd بالمتطلبات التالية:

قبول طلبات POST أو PUT
قبول طلبات HTTPS
وجود عنوان URL عام
إعادة توجيه السجلات إلى ArcSight Logger، يستخدم هذا المثال الإضافة remote_syslog لإعادة توجيه السجلات

يتم تكوين Fluentd في ملف td-agent.conf:

يتم تكوين معالجة webhook الوارد في وجهة source:
- يتم إرسال حركة المرور إلى المنفذ 9880
- يتم تكوين Fluentd لقبول الاتصالات الآمنة فقط
- يقع شهادة TLS لـ Fluentd ضمن الملف /etc/ssl/certs/fluentd.crt
- يقع المفتاح الخاص لشهادة TLS ضمن الملف /etc/ssl/private/fluentd.key
يتم تكوين إعادة توجيه السجلات إلى ArcSight Logger وإخراج السجل في وجهة match:
- يتم نسخ جميع سجلات الأحداث من Fluentd وإعادة توجيهها إلى ArcSight Logger على عنوان IP https://192.168.1.73:514
- يتم إعادة توجيه السجلات من Fluentd إلى ArcSight Logger بتنسيق JSON وفقًا للمعيار Syslog
- يتم إنشاء الاتصال مع ArcSight Logger عبر UDP
- يتم طباعة سجلات Fluentd بالإضافة إلى ذلك على سطر الأوامر بتنسيق JSON (الأسطر كود 19-22). يُستخدم الإعداد للتحقق من تسجيل الأحداث عبر Fluentd

<source>
  @type http # input plugin for HTTP and HTTPS traffic
  port 9880 # port for incoming requests
  <transport tls> # configuration for connections handling
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # output plugin to forward logs from Fluentd via Syslog
      host 192.168.1.73 # IP address to forward logs to
      port 514 # port to forward logs to
      protocol udp # connection protocol
    <format>
      @type json # format of forwarded logs
    </format>
  </store>
  <store>
     @type stdout # output plugin to print Fluentd logs on the command line
     output_type json # format of logs printed on the command line
  </store>
</match>

يتوفر وصف أكثر تفصيلاً لملفات التكوين في وثائق Fluentd الرسمية.

اختبار تكوين Fluentd

للتحقق من أن سجلات Fluentd يتم إنشاؤها وإعادة توجيهها إلى ArcSight Logger، يمكن إرسال طلب PUT أو POST إلى Fluentd.

مثال الطلب:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

سجلات Fluentd:

الحدث في ArcSight Logger:

تكوين الدمج مع Fluentd¶

Webhooks are sent to https://fluentd-example-domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

اختبار المثال¶

To test the configuration, a new user is added in Wallarm Console:

سوف يسجل Fluentd الحدث كما يلي:

سيتم عرض الإدخال التالي في أحداث ArcSight Logger: