Estou tentando configurar isso para ingestão de SIEM no RHEL 8. Tenho essa configuração abaixo, porém, o TCP normal não-tls não funciona.
Eu sei que o problema é porque tenho gtls globalmente e no meu módulo imtcp - isso é óbvio, mas o que não consigo encontrar é como adicionar essa configuração em apenas um único modelo de entrada que posso adicionar a cada conjunto de regras necessário. Isso pode ser feito?
Tentei adicionar o seguinte ao meu modelo de entrada sem sucesso. Eles parecem obsoletos.
Eu tentei adicionar:
(1)
StreamDriver.Name="gtls"
StreamDriver.Mode="1"
StreamDriver.Authmode="anon"
(2)
Tag="ssl"
(3)
tls="on"
tls.caCert="/etc/rsyslog.d/certs/CA.pem"
tls.myCert="/etc/rsyslog.d/certs/server.pem"
tls.myPrivKey="/etc/rsyslog.d/certs/Key.key"
tls.authmode="name"
Qualquer sugestão seria muito apreciada.
########## MODULES ##########
module(load="imudp")
module(load="imtcp" MaxSessions="500"
StreamDriver.Name="gtls"
StreamDriver.Mode="1"
StreamDriver.Authmode="anon"
)
########## TEMPLATES ##########
template(name="FileFormat" type="list") {
property(name="rawmsg-after-pri")
constant(value="\n")
}
# make gtls driver the default and set certificate files
global(
DefaultNetstreamDriver="gtls"
DefaultNetstreamDriverCAFile="/etc/rsyslog.d/certs/CA.pem"
DefaultNetstreamDriverCertFile="/etc/rsyslog.d/certs/server.pem"
DefaultNetstreamDriverKeyFile="/etc/rsyslog.d/certs/Key.key"
)
# semanage port -a -t syslogd_port_t -p udp <port>
############### udp_input ###############
input(type="imudp" port="8501" ruleset="udp_input")
template(name="udp_input" type="string" string="var/log/remote/udp_input/%HOSTNAME%/%$day%_%$hour%.log")
ruleset(name="udp_input"){
action(
type="omfile"
dirCreateMode="0755"
template="FileFormat"
dynafile="udp_input"
)
}
# semanage port -a -t syslogd_port_t -p tcp <port>
############### TCP_input ###############
input(type="imtcp" port="8502" ruleset="TCP_input")
template(name="TCP_input" type="string" string="var/log/remote/TCP_input/%HOSTNAME%/%$day%_%$hour%.log")
ruleset(name="TCP_input"){
action(
type="omfile"
dirCreateMode="0755"
template="FileFormat"
dynafile="TCP_input"
)
}
# semanage port -a -t syslog_tls_port_t -p tcp <port>
############### tls_input ###############
input(type="imtcp" port="8611" ruleset="tls_input")
template(name="tls_input" type="string" string="var/log/remote/tls_input/%HOSTNAME%/%$day%_%$hour%.log")
ruleset(name="tls_input"){
action(
type="omfile"
dirCreateMode="0755"
template="FileFormat"
dynafile="tls_input"
)
}
Eu tenho módulos: rsyslog.x86_64
rsyslog-gnutls.x86_64 rsyslog-gssapi.x86_64 rsyslog-relp.x86_64
Responder1
Você também tentou substituir o módulo imtcp por meio de texto simples TCP imptcp?
############### TCP_input ###############
input(type="imptcp" port="8502" ruleset="TCP_input")