تكامل Micro Focus ArcSight Logger عبر Logstash¶

تزودك هذه التعليمات بمثال على تكامل Wallarm مع جمّاع البيانات Logstash لإعادة توجيه الأحداث إلى نظام ArcSight Logger.

The most common logging scheme in complex systems consists of the following components:

• Data collector: accepts logs from several sources and forwards logs to the SIEM system

• SIEM system or log management systems: used to analyze logs and monitor the system status

الموارد المستخدمة¶

• ArcSight Logger 7.1 مثبّت على CentOS 7.8 بعنوان ويب https://192.168.1.73:443

• Logstash 7.7.0 مثبّت على Debian 11.x (bullseye) ومتاح على https://logstash.example.domain.com

• وصول المدير إلى وحدة التحكم Wallarm في السحابة الأوروبية لـ تهيئة تكامل Logstash

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

نظرًا لأن الروابط إلى خدمات ArcSight Logger وLogstash مذكورة كأمثلة، فإنها لا تستجيب.

تهيئة ArcSight Logger¶

تم تكوين مستقبل السجلات في ArcSight Logger سجلات Wallarm Logstash على النحو التالي:

• يتم استلام السجلات عبر UDP (النوع = مستقبل UDP)

• منفذ الاستماع هو 514

• يتم تحليل الأحداث بمحلل syslog

• الإعدادات الافتراضية الأخرى

للحصول على وصف أكثر تفصيلًا لتهيئة المستقبل، يُرجى تحميل دليل تثبيت Logger للنسخة المناسبة من التوثيق الرسمي لـ ArcSight Logger.

تهيئة Logstash¶

بما أن Wallarm يرسل السجلات إلى جمّاع البيانات Logstash الوسيط عبر الويب هوك، يجب أن تلبي تهيئة Logstash المتطلبات التالية:

• قبول طلبات POST أو PUT

• قبول طلبات HTTPS

• امتلاك عنوان URL عام

• إعادة توجيه السجلات إلى ArcSight Logger، يستخدم هذا المثال البرنامج المساعد syslog لإعادة توجيه السجلات

تمت تهيئة Logstash في ملف logstash-sample.conf:

• تمت تهيئة معالجة ويب هوك الوارد في قسم input:

  • يتم إرسال الحركة إلى المنفذ 5044
  • Logstash مهيأ لقبول الاتصالات HTTPS فقط
  • شهادة TLS Logstash الموقعة من CA ذات ثقة عامة موجودة ضمن الملف /etc/server.crt
  • المفتاح الخاص لشهادة TLS موجود ضمن الملف /etc/server.key

• تمت تهيئة إعادة توجيه السجلات إلى ArcSight Logger وإخراج السجل في قسم output:

  • يتم إعادة توجيه جميع سجلات الأحداث من Logstash إلى ArcSight Logger على عنوان IP https://192.168.1.73:514
  • يتم إعادة توجيه السجلات من Logstash إلى ArcSight Logger بتنسيق JSON وفقًا لمعيار Syslog
  • يتم إنشاء الاتصال مع ArcSight Logger عبر UDP
  • يتم طباعة سجلات Logstash إضافيًا على سطر الأوامر (السطر الكودي 15). الإعداد مستخدم للتحقق من أن الأحداث تُسجل عبر Logstash

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

input {
  http { # البرنامج المساعد لحركة البيانات HTTP و HTTPS
    port => 5044 # منفذ الطلبات الواردة
    ssl => true # معالجة حركة البيانات HTTPS
    ssl_certificate => "/etc/server.crt" # شهادة TLS لـ Logstash
    ssl_key => "/etc/server.key" # المفتاح الخاص لشهادة TLS
  }
}
output {
  syslog { # البرنامج المساعد لإعادة توجيه السجلات من Logstash عبر Syslog
    host => "192.168.1.73" # عنوان IP لإعادة توجيه السجلات إليه
    port => "514" # المنفذ لإعادة توجيه السجلات إليه
    protocol => "udp" # بروتوكول الاتصال
    codec => json # تنسيق السجلات المعاد توجيهها
  }
  stdout {} # البرنامج المساعد لطباعة سجلات Logstash على سطر الأوامر
}

وصف أكثر تفصيلًا لملفات التهيئة متاح في التوثيق الرسمي لـ Logstash.

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

تهيئة تكامل Logstash¶

• Webhooks are sent to https://logstash.example.domain.com

• Webhooks are sent via POST requests

• The webhook integration has default advanced settings

• Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

المزيد من التفاصيل حول تهيئة تكامل Logstash

اختبار المثال¶

To test the configuration, a new user is added in Wallarm Console:

سيُسجل Logstash الحدث على النحو التالي:

سيتم عرض الإدخال التالي في أحداث ArcSight Logger:

هل كانت هذه الصفحة مفيدة؟

كيف يمكننا تحسين هذه المقالة؟ (خياري)

المعلومات غير واضحة أو محيرة

معلومات غير كافية

معلومات قديمة أو غير صحيحة

0/240

يرسل