Ich versuche, dies für die SIEM-Aufnahme auf RHEL 8 einzurichten. Ich habe diese Konfiguration unten, das normale Nicht-TLS-TCP funktioniert jedoch nicht.
Ich weiß, dass das Problem darin besteht, dass ich global und in meinem IMTCP-Modul GTLS habe – das ist offensichtlich, aber ich kann nicht herausfinden, wie ich diese Konfiguration in nur eine einzige Eingabevorlage einfüge, die ich zu jedem benötigten Regelsatz hinzufügen kann. Ist das überhaupt möglich?
Ich habe vergeblich versucht, Folgendes in meine Eingabevorlage einzufügen. Es scheint veraltet zu sein.
Ich habe versucht hinzuzufügen:
(1)
StreamDriver.Name="gtls"
StreamDriver.Mode="1"
StreamDriver.Authmode="anon"
(2)
Tag="ssl"
(3)
tls="on"
tls.caCert="/etc/rsyslog.d/certs/CA.pem"
tls.myCert="/etc/rsyslog.d/certs/server.pem"
tls.myPrivKey="/etc/rsyslog.d/certs/Key.key"
tls.authmode="name"
Ich bin für jeden Vorschlag sehr dankbar.
########## MODULES ##########
module(load="imudp")
module(load="imtcp" MaxSessions="500"
StreamDriver.Name="gtls"
StreamDriver.Mode="1"
StreamDriver.Authmode="anon"
)
########## TEMPLATES ##########
template(name="FileFormat" type="list") {
property(name="rawmsg-after-pri")
constant(value="\n")
}
# make gtls driver the default and set certificate files
global(
DefaultNetstreamDriver="gtls"
DefaultNetstreamDriverCAFile="/etc/rsyslog.d/certs/CA.pem"
DefaultNetstreamDriverCertFile="/etc/rsyslog.d/certs/server.pem"
DefaultNetstreamDriverKeyFile="/etc/rsyslog.d/certs/Key.key"
)
# semanage port -a -t syslogd_port_t -p udp <port>
############### udp_input ###############
input(type="imudp" port="8501" ruleset="udp_input")
template(name="udp_input" type="string" string="var/log/remote/udp_input/%HOSTNAME%/%$day%_%$hour%.log")
ruleset(name="udp_input"){
action(
type="omfile"
dirCreateMode="0755"
template="FileFormat"
dynafile="udp_input"
)
}
# semanage port -a -t syslogd_port_t -p tcp <port>
############### TCP_input ###############
input(type="imtcp" port="8502" ruleset="TCP_input")
template(name="TCP_input" type="string" string="var/log/remote/TCP_input/%HOSTNAME%/%$day%_%$hour%.log")
ruleset(name="TCP_input"){
action(
type="omfile"
dirCreateMode="0755"
template="FileFormat"
dynafile="TCP_input"
)
}
# semanage port -a -t syslog_tls_port_t -p tcp <port>
############### tls_input ###############
input(type="imtcp" port="8611" ruleset="tls_input")
template(name="tls_input" type="string" string="var/log/remote/tls_input/%HOSTNAME%/%$day%_%$hour%.log")
ruleset(name="tls_input"){
action(
type="omfile"
dirCreateMode="0755"
template="FileFormat"
dynafile="tls_input"
)
}
Ich habe Module: rsyslog.x86_64
rsyslog-gnutls.x86_64 rsyslog-gssapi.x86_64 rsyslog-relp.x86_64
Antwort1
Haben Sie auch versucht, das IMTCP-Modul durch das TCP-Imptcp-Modul im Klartext zu ersetzen?
############### TCP_input ###############
input(type="imptcp" port="8502" ruleset="TCP_input")