Micro Focus ArcSight Logger Logstash ile
# Micro Focus ArcSight Logger Logstash üzerinden
Bu talimatlar, Wallarm ile Logstash veri toplayıcısının ArcSight Logger sistemine olay iletmek üzere örnek entegrasyonunu size sunmaktadır.
The most common logging scheme in complex systems consists of the following components:
* Data collector: accepts logs from several sources and forwards logs to the SIEM system
* [SIEM system](https://www.wallarm.com/what/siem-whats-security-information-and-event-management-technology-part-1) or log management systems: used to analyze logs and monitor the system status
!!! info "ArcSight ESM Enterprise sürümü ile entegrasyon"
Logstash'den ArcSight ESM Enterprise sürümüne günlük iletimini yapılandırmak için, ArcSight tarafında Syslog Connector'ün yapılandırılması ve ardından Logstash'den bu connector portuna günlüklerin iletilmesi önerilir. Bağlayıcıların daha ayrıntılı tanımını almak için lütfen [official ArcSight SmartConnector documentation](https://community.microfocus.com/t5/ArcSight-Connectors/ct-p/ConnectorsDocs) adresinden **SmartConnector User Guide**'ı indirin.
## Kullanılan kaynaklar
* CentOS 7.8 üzerinde kurulu WEB URL `https://192.168.1.73:443` ile [ArcSight Logger 7.1](#arcsight-logger-configuration)
* Debian 11.x (bullseye) üzerinde kurulu ve `https://logstash.example.domain.com` adresinde erişilebilir [Logstash 7.7.0](#logstash-configuration)
* [EU cloud](https://my.wallarm.com)'daki Wallarm Console'a yönetici erişimi ile [Logstash entegrasyonunu yapılandırmak](#configuration-of-logstash-integration)
!!! info "Wallarm Cloud IP addresses"
To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:
=== "US Cloud"
```
35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
```
=== "EU Cloud"
```
34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
```
ArcSight Logger ve Logstash servislerine ait bağlantılar örnek olarak alındığından, bu bağlantılar yanıt vermemektedir.
### ArcSight Logger yapılandırması
ArcSight Logger, `Wallarm Logstash logs` adlı günlük alıcısını aşağıdaki şekilde yapılandırmıştır:
* Günlükler UDP üzerinden alınmaktadır (`Type = UDP Receiver`)
* Dinleme portu `514`
* Olaylar syslog ayrıştırıcısı ile ayrıştırılmaktadır
* Diğer varsayılan ayarlar
Alıcının yapılandırması hakkında daha ayrıntılı bilgi için, lütfen [official ArcSight Logger documentation](https://community.microfocus.com/t5/Logger-Documentation/ct-p/LoggerDoc) adresinden uygun sürüme ait **Logger Installation Guide**'ı indirin.
### Logstash yapılandırması
Wallarm, günlükleri webhooks aracılığıyla Logstash ara veri toplayıcısına gönderdiğinden, Logstash yapılandırması aşağıdaki gereksinimleri karşılamalıdır:
* POST veya PUT isteklerini kabul etmelidir
* HTTPS isteklerini kabul etmelidir
* Genel bir URL'ye sahip olmalıdır
* Günlükleri ArcSight Logger'a iletmelidir; bu örnekte günlüklerin iletimi için `syslog` eklentisi kullanılmaktadır
Logstash, `logstash-sample.conf` dosyasında aşağıdaki şekilde yapılandırılmıştır:
* Gelen webhook işleme `input` bölümünde yapılandırılmıştır:
* Trafik port 5044'e gönderilir
* Logstash, yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
* Genel olarak güvenilen CA tarafından imzalanmış Logstash TLS sertifikası `/etc/server.crt` dosyasında bulunmaktadır
* TLS sertifikası için özel anahtar `/etc/server.key` dosyasında bulunmaktadır
* Günlüklerin ArcSight Logger'a iletilmesi ve günlük çıktısı `output` bölümünde yapılandırılmıştır:
* Tüm olay günlükleri, Logstash'ten `https://192.168.1.73:514` IP adresindeki ArcSight Logger'a iletilir
* Günlükler, [Syslog](https://en.wikipedia.org/wiki/Syslog) standardına uygun olarak JSON formatında Logstash'ten ArcSight Logger'a iletilir
* ArcSight Logger ile bağlantı UDP üzerinden kurulmaktadır
* Logstash günlükleri ayrıca komut satırında (15. kod satırı) yazdırılmaktadır. Bu ayar, olayların Logstash aracılığıyla kaydedildiğini doğrulamak amacıyla kullanılmaktadır
```bash linenums="1"
input {
http { # input plugin for HTTP and HTTPS traffic
port => 5044 # port for incoming requests
ssl => true # HTTPS traffic processing
ssl_certificate => "/etc/server.crt" # Logstash TLS certificate
ssl_key => "/etc/server.key" # private key for TLS certificate
}
}
output {
syslog { # output plugin to forward logs from Logstash via Syslog
host => "192.168.1.73" # IP address to forward logs to
port => "514" # port to forward logs to
protocol => "udp" # connection protocol
codec => json # format of forwarded logs
}
stdout {} # output plugin to print Logstash logs on the command line
}
Yapılandırma dosyalarının daha ayrıntılı açıklaması official Logstash documentation adresinde bulunmaktadır.
Logstash yapılandırmasını test etme
Logstash günlüklerinin oluşturulduğunu ve ArcSight Logger'a iletildiğini doğrulamak için, Logstash'e POST isteği gönderilebilir.
İstek örneği:
curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'
Logstash günlükleri:
ArcSight Logger'daki Olay:
Logstash entegrasyonu yapılandırması¶
-
Webhooks are sent to
https://logstash.example.domain.com -
Webhooks are sent via POST requests
-
The webhook integration has default advanced settings
-
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes
Logstash entegrasyonu yapılandırması hakkında daha fazla detay
Örnek test¶
To test the configuration, a new user is added in Wallarm Console:
Logstash, olayı aşağıdaki şekilde kaydedecektir:
ArcSight Logger olaylarında aşağıdaki giriş görüntülenecektir:
```