Ana içeriğe geç

Micro Focus ArcSight Logger Logstash ile

# Micro Focus ArcSight Logger Logstash üzerinden

Bu talimatlar, Wallarm ile Logstash veri toplayıcısının ArcSight Logger sistemine olay iletmek üzere örnek entegrasyonunu size sunmaktadır.

The most common logging scheme in complex systems consists of the following components:

* Data collector: accepts logs from several sources and forwards logs to the SIEM system
* [SIEM system](https://www.wallarm.com/what/siem-whats-security-information-and-event-management-technology-part-1) or log management systems: used to analyze logs and monitor the system status

![Webhook flow](../../../../images/user-guides/settings/integrations/webhook-examples/logstash/arcsight-logger-scheme.png)

!!! info "ArcSight ESM Enterprise sürümü ile entegrasyon"
    Logstash'den ArcSight ESM Enterprise sürümüne günlük iletimini yapılandırmak için, ArcSight tarafında Syslog Connector'ün yapılandırılması ve ardından Logstash'den bu connector portuna günlüklerin iletilmesi önerilir. Bağlayıcıların daha ayrıntılı tanımını almak için lütfen [official ArcSight SmartConnector documentation](https://community.microfocus.com/t5/ArcSight-Connectors/ct-p/ConnectorsDocs) adresinden **SmartConnector User Guide**'ı indirin.

## Kullanılan kaynaklar

* CentOS 7.8 üzerinde kurulu WEB URL `https://192.168.1.73:443` ile [ArcSight Logger 7.1](#arcsight-logger-configuration)
* Debian 11.x (bullseye) üzerinde kurulu ve `https://logstash.example.domain.com` adresinde erişilebilir [Logstash 7.7.0](#logstash-configuration)
* [EU cloud](https://my.wallarm.com)'daki Wallarm Console'a yönetici erişimi ile [Logstash entegrasyonunu yapılandırmak](#configuration-of-logstash-integration)

!!! info "Wallarm Cloud IP addresses"
    To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

    === "US Cloud"
        ```
        35.235.66.155
        34.102.90.100
        34.94.156.115
        35.235.115.105
        34.94.85.217
        34.94.51.234
        34.102.59.122
        34.94.238.72
        ```
    === "EU Cloud"
        ```
        34.141.230.156
        34.91.138.113
        34.90.114.134
        35.204.127.78
        ```

ArcSight Logger ve Logstash servislerine ait bağlantılar örnek olarak alındığından, bu bağlantılar yanıt vermemektedir.

### ArcSight Logger yapılandırması

ArcSight Logger, `Wallarm Logstash logs` adlı günlük alıcısını aşağıdaki şekilde yapılandırmıştır:

* Günlükler UDP üzerinden alınmaktadır (`Type = UDP Receiver`)
* Dinleme portu `514`
* Olaylar syslog ayrıştırıcısı ile ayrıştırılmaktadır
* Diğer varsayılan ayarlar

![Configuration of receiver in ArcSight Logger](../../../../images/user-guides/settings/integrations/webhook-examples/arcsight-logger/logstash-setup.png)

Alıcının yapılandırması hakkında daha ayrıntılı bilgi için, lütfen [official ArcSight Logger documentation](https://community.microfocus.com/t5/Logger-Documentation/ct-p/LoggerDoc) adresinden uygun sürüme ait **Logger Installation Guide**'ı indirin.

### Logstash yapılandırması

Wallarm, günlükleri webhooks aracılığıyla Logstash ara veri toplayıcısına gönderdiğinden, Logstash yapılandırması aşağıdaki gereksinimleri karşılamalıdır:

* POST veya PUT isteklerini kabul etmelidir
* HTTPS isteklerini kabul etmelidir
* Genel bir URL'ye sahip olmalıdır
* Günlükleri ArcSight Logger'a iletmelidir; bu örnekte günlüklerin iletimi için `syslog` eklentisi kullanılmaktadır

Logstash, `logstash-sample.conf` dosyasında aşağıdaki şekilde yapılandırılmıştır:

* Gelen webhook işleme `input` bölümünde yapılandırılmıştır:
    * Trafik port 5044'e gönderilir
    * Logstash, yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
    * Genel olarak güvenilen CA tarafından imzalanmış Logstash TLS sertifikası `/etc/server.crt` dosyasında bulunmaktadır
    * TLS sertifikası için özel anahtar `/etc/server.key` dosyasında bulunmaktadır
* Günlüklerin ArcSight Logger'a iletilmesi ve günlük çıktısı `output` bölümünde yapılandırılmıştır:
    * Tüm olay günlükleri, Logstash'ten `https://192.168.1.73:514` IP adresindeki ArcSight Logger'a iletilir
    * Günlükler, [Syslog](https://en.wikipedia.org/wiki/Syslog) standardına uygun olarak JSON formatında Logstash'ten ArcSight Logger'a iletilir
    * ArcSight Logger ile bağlantı UDP üzerinden kurulmaktadır
    * Logstash günlükleri ayrıca komut satırında (15. kod satırı) yazdırılmaktadır. Bu ayar, olayların Logstash aracılığıyla kaydedildiğini doğrulamak amacıyla kullanılmaktadır

```bash linenums="1"
input {
  http { # input plugin for HTTP and HTTPS traffic
    port => 5044 # port for incoming requests
    ssl => true # HTTPS traffic processing
    ssl_certificate => "/etc/server.crt" # Logstash TLS certificate
    ssl_key => "/etc/server.key" # private key for TLS certificate
  }
}
output {
  syslog { # output plugin to forward logs from Logstash via Syslog
    host => "192.168.1.73" # IP address to forward logs to
    port => "514" # port to forward logs to
    protocol => "udp" # connection protocol
    codec => json # format of forwarded logs
  }
  stdout {} # output plugin to print Logstash logs on the command line
}

Yapılandırma dosyalarının daha ayrıntılı açıklaması official Logstash documentation adresinde bulunmaktadır.

Logstash yapılandırmasını test etme

Logstash günlüklerinin oluşturulduğunu ve ArcSight Logger'a iletildiğini doğrulamak için, Logstash'e POST isteği gönderilebilir.

İstek örneği:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logstash günlükleri:
Logstash logs

ArcSight Logger'daki Olay:
ArcSight Logger event

Logstash entegrasyonu yapılandırması

  • Webhooks are sent to https://logstash.example.domain.com

  • Webhooks are sent via POST requests

  • The webhook integration has default advanced settings

  • Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Webhook integration with Logstash

Logstash entegrasyonu yapılandırması hakkında daha fazla detay

Örnek test

To test the configuration, a new user is added in Wallarm Console:

Adding user

Logstash, olayı aşağıdaki şekilde kaydedecektir:

Log about new user in ArcSight Logger from Logstash

ArcSight Logger olaylarında aşağıdaki giriş görüntülenecektir:

New user card in ArcSight Logger from Logstash
```