Fluentd aracılığıyla Micro Focus ArcSight Logger¶

Bu talimatlar, olayları ArcSight Logger sistemine iletmek üzere Wallarm’ın Fluentd veri toplayıcı ile örnek entegrasyonunu sağlar.

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

ArcSight ESM’in Enterprise sürümüyle entegrasyon

Fluentd’ten ArcSight ESM’in Enterprise sürümüne günlük yönlendirmesini yapılandırmak için, ArcSight tarafında Syslog Connector’ı yapılandırmanız ve ardından günlükleri Fluentd’ten konektörün portuna yönlendirmeniz önerilir. Konektörlere ilişkin daha ayrıntılı bir açıklama için lütfen resmi ArcSight SmartConnector dokümantasyonundan SmartConnector User Guide’ı indirin.

Kullanılan kaynaklar¶

CentOS 7.8 üzerinde kurulu, WEB URL’si https://192.168.1.73:443 olan ArcSight Logger 7.1
Debian 11.x (bullseye) üzerinde kurulu ve https://fluentd-example-domain.com üzerinden erişilebilen Fluentd
Fluentd entegrasyonunu yapılandırmak için AB bulutu üzerinde Wallarm Console’a yönetici erişimi

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
35.235.100.79
34.102.45.38
34.94.241.21
34.102.90.100
34.94.203.193
34.94.238.221
34.94.9.23

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
34.90.24.155

ArcSight Logger ve Fluentd hizmetlerine ait bağlantılar örnek olarak verilmiştir; yanıt vermezler.

ArcSight Logger yapılandırması¶

ArcSight Logger’da şu şekilde yapılandırılmış Wallarm Fluentd logs adlı bir günlük alıcısı bulunmaktadır:

Günlükler UDP üzerinden alınır (Type = UDP Receiver)
Dinleme portu 514
Olaylar syslog ayrıştırıcısı ile ayrıştırılır
Diğer varsayılan ayarlar

Alıcı yapılandırmasının daha ayrıntılı bir açıklaması için, uygun sürüme ait Logger Installation Guide’ı resmi ArcSight Logger dokümantasyonundan indirin.

Fluentd yapılandırması¶

Wallarm, günlükleri webhook’lar aracılığıyla Fluentd ara veri toplayıcısına gönderdiğinden, Fluentd yapılandırması aşağıdaki gereksinimleri karşılamalıdır:

POST veya PUT isteklerini kabul etmelidir
HTTPS isteklerini kabul etmelidir
Genel bir URL’ye sahip olmalıdır
Günlükleri ArcSight Logger’a iletmelidir; bu örnek, günlükleri iletmek için remote_syslog eklentisini kullanır

Fluentd, td-agent.conf dosyasında yapılandırılmıştır:

Gelen webhook işleme, source yönergesinde yapılandırılmıştır:
- Trafik 9880 numaralı porta gönderilir
- Fluentd yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
- Genel olarak güvenilir bir CA tarafından imzalanmış Fluentd TLS sertifikası /etc/ssl/certs/fluentd.crt dosyasında bulunur
- TLS sertifikasının özel anahtarı /etc/ssl/private/fluentd.key dosyasında bulunur
ArcSight Logger’a günlük yönlendirme ve günlük çıktısı, match yönergesinde yapılandırılmıştır:
- Tüm olay günlükleri Fluentd’ten kopyalanır ve https://192.168.1.73:514 IP adresindeki ArcSight Logger’a iletilir
- Günlükler Fluentd’ten ArcSight Logger’a Syslog standardına uygun olarak JSON formatında iletilir
- ArcSight Logger ile bağlantı UDP üzerinden kurulur
- Fluentd günlükleri ayrıca komut satırında JSON formatında yazdırılır (19-22. kod satırları). Bu ayar, olayların Fluentd üzerinden günlüğe kaydedildiğini doğrulamak için kullanılır

<source>
  @type http # HTTP ve HTTPS trafiği için input eklentisi
  port 9880 # gelen istekler için port
  <transport tls> # bağlantıların yönetimi için yapılandırma
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # Fluentd'ten Syslog aracılığıyla günlük iletimi için output eklentisi
      host 192.168.1.73 # günlüklerin iletileceği IP adresi
      port 514 # günlüklerin iletileceği port
      protocol udp # bağlantı protokolü
    <format>
      @type json # iletilen günlüklerin formatı
    </format>
  </store>
  <store>
     @type stdout # Fluentd günlüklerini komut satırına yazdırmak için output eklentisi
     output_type json # komut satırına yazdırılan günlüklerin formatı
  </store>
</match>

Yapılandırma dosyalarının daha ayrıntılı açıklaması resmi Fluentd dokümantasyonunda mevcuttur.

Fluentd yapılandırmasını test etme

Fluentd günlüklerinin oluşturulup ArcSight Logger’a iletildiğini kontrol etmek için Fluentd’e PUT veya POST isteği gönderilebilir.

İstek örneği:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Fluentd günlükleri:

ArcSight Logger’daki olay:

Fluentd entegrasyonunun yapılandırılması¶

Webhooks are sent to https://fluentd-example-domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Fluentd entegrasyonunun yapılandırılması hakkında daha fazla bilgi

Örnek test¶

To test the configuration, a new user is added in Wallarm Console:

Fluentd olayı aşağıdaki gibi günlüğe kaydedecektir:

ArcSight Logger olaylarında aşağıdaki kayıt görüntülenecektir: