Ana içeriğe geç

Micro Focus ArcSight Logger via Fluentd

Bu yönergeler, Wallarm'ın Fluentd veri toplayıcısı ile örnek entegrasyonunu ve bu entegrasyon sayesinde olayların ArcSight Logger sistemine iletilmesini sağlamaktadır.

The most common logging scheme in complex systems consists of the following components:

  • Data collector: accepts logs from several sources and forwards logs to the SIEM system

  • SIEM system or log management systems: used to analyze logs and monitor the system status

Webhook flow

Integration with the Enterprise version of ArcSight ESM

Fluentd'den ArcSight ESM Enterprise sürümüne log iletimini yapılandırmak için, ArcSight tarafında Syslog Connector'ün yapılandırılması ve ardından Fluentd'den connector portuna logların iletilmesi önerilir. Konnektörler hakkında daha ayrıntılı bilgi için lütfen resmi ArcSight SmartConnector dokümantasyonundan SmartConnector User Guide'ı indirin.

Used resources

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Örnek olarak gösterilen ArcSight Logger ve Fluentd servis bağlantıları yanıt vermemektedir.

ArcSight Logger configuration

ArcSight Logger, Wallarm Fluentd logs isimli log alıcısını aşağıdaki şekilde yapılandırmıştır:

  • Loglar UDP üzerinden alınır (Type = UDP Receiver)

  • Dinleme portu 514'tür

  • Olaylar syslog ayrıştırıcısı ile işlenir

  • Diğer varsayılan ayarlar

Configuration of receiver in ArcSight Logger

Alıcı yapılandırmasının daha ayrıntılı açıklamasını almak için lütfen resmi ArcSight Logger dokümantasyonundan uygun sürüme ait Logger Installation Guide'ı indirin.

Fluentd configuration

Wallarm, logları webhooks aracılığıyla Fluentd ara veri toplayıcısına gönderdiğinden, Fluentd yapılandırması aşağıdaki gereksinimleri karşılamalıdır:

  • POST veya PUT isteklerini kabul etmeli

  • HTTPS isteklerini kabul etmeli

  • Genel bir URL'ye sahip olmalı

  • Logları ArcSight Logger'a yönlendirmeli; bu örnekte logları yönlendirmek için remote_syslog eklentisi kullanılmıştır

Fluentd, td-agent.conf dosyasında yapılandırılmıştır:

  • Gelen webhook işleme source yönergesinde yapılandırılmıştır:

    • Trafik 9880 portuna yönlendirilir
    • Fluentd yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
    • Genel olarak güvenilen bir CA tarafından imzalanan Fluentd TLS sertifikası /etc/ssl/certs/fluentd.crt dosyasında yer almaktadır
    • TLS sertifikasına ait özel anahtar /etc/ssl/private/fluentd.key dosyasında bulunmaktadır
  • ArcSight Logger'a log yönlendirme ve log çıktısı match yönergesinde yapılandırılmıştır:

    • Tüm olay logları Fluentd'den kopyalanarak https://192.168.1.73:514 IP adresindeki ArcSight Logger'a yönlendirilir
    • Loglar, Fluentd'den ArcSight Logger'a Syslog standardına uygun JSON formatında iletilir
    • ArcSight Logger ile bağlantı UDP üzerinden sağlanır
    • Fluentd logları, ek olarak komut satırında JSON formatında (19-22 kod satırı) yazdırılır. Bu ayar, olayların Fluentd üzerinden kaydedildiğini doğrulamak için kullanılır
<source>
  @type http # input plugin for HTTP and HTTPS traffic
  port 9880 # port for incoming requests
  <transport tls> # configuration for connections handling
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # output plugin to forward logs from Fluentd via Syslog
      host 192.168.1.73 # IP address to forward logs to
      port 514 # port to forward logs to
      protocol udp # connection protocol
    <format>
      @type json # format of forwarded logs
    </format>
  </store>
  <store>
     @type stdout # output plugin to print Fluentd logs on the command line
     output_type json # format of logs printed on the command line
  </store>
</match>

Yapılandırma dosyalarının daha ayrıntılı açıklaması resmi Fluentd dokümantasyonunda mevcuttur.

Testing Fluentd configuration

Fluentd loglarının oluşturulduğunu ve ArcSight Logger'a yönlendirildiğini kontrol etmek için Fluentd'ye PUT veya POST isteği gönderilebilir.

Request example:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Fluentd logs:
Logs in Fluentd

Event in ArcSight Logger:
Logs in ArcSight Logger

Configuration of Fluentd integration

  • Webhooks are sent to https://fluentd-example-domain.com

  • Webhooks are sent via POST requests

  • The webhook integration has default advanced settings

  • Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Webhook integration with Fluentd

More details on the Fluentd integration configuration

Example testing

To test the configuration, a new user is added in Wallarm Console:

Adding user

Fluentd olayı aşağıdaki şekilde loglayacaktır:

Fluentd log about new user

ArcSight Logger olaylarında aşağıdaki giriş görüntülenecektir:

Events in ArccSiight Logger