Я пытаюсь настроить это для приема SIEM на RHEL 8. У меня есть эта конфигурация ниже, однако обычный TCP без tls не работает.
Я знаю, что проблема в том, что у меня есть gtls глобально и в моем модуле imtcp - это очевидно, но я не могу найти, как добавить эту конфигурацию только в один шаблон ввода, который я могу добавить к каждому набору необходимых правил. Можно ли это сделать?
Я попытался добавить следующее в свой шаблон ввода безрезультатно. Они кажутся устаревшими.
Я попытался добавить:
(1)
StreamDriver.Name="gtls"
StreamDriver.Mode="1"
StreamDriver.Authmode="анон"
(2)
Тег="ssl"
(3)
tls="на"
tls.caCert="/etc/rsyslog.d/certs/CA.pem"
tls.myCert="/etc/rsyslog.d/certs/server.pem"
tls.myPrivKey="/etc/rsyslog.d/certs/Key.key"
tls.authmode="имя"
Любые предложения будут ценны.
########## МОДУЛИ ##########
модуль (загрузка = "imudp")
модуль (загрузка = «imtcp» MaxSessions = «500»
StreamDriver.Name="gtls"
StreamDriver.Mode="1"
StreamDriver.Authmode="анон"
)
########## ШАБЛОНЫ ##########
шаблон (имя = "Формат файла" тип = "список") {
свойство (имя = "rawmsg-после-при")
константа (значение = "\ п")
}
# сделать драйвер gtls драйвером по умолчанию и установить файлы сертификатов
Глобальный(
DefaultNetstreamDriver="gtls"
DefaultNetstreamDriverCAFile="/etc/rsyslog.d/certs/CA.pem"
DefaultNetstreamDriverCertFile="/etc/rsyslog.d/certs/server.pem"
DefaultNetstreamDriverKeyFile="/etc/rsyslog.d/certs/Key.key"
)
# semanage port -a -t syslogd_port_t -p udp <порт>
############### udp_input ################
ввод (тип = «imudp» порт = «8501» набор правил = «udp_input»)
template(name="udp_input" type="string" string="var/log/remote/udp_input/%HOSTNAME%/%$day%_%$hour%.log")
набор правил (имя = "udp_input") {
действие(
тип = "омфайл"
режим создания режима = "0755"
шаблон = "Формат файла"
dynafile="udp_input"
)
}
# semanage port -a -t syslogd_port_t -p tcp <порт>
############### TCP_input ################
ввод (тип = «imtcp» порт = «8502» набор правил = «TCP_input»)
template(name="TCP_input" type="string" string="var/log/remote/TCP_input/%HOSTNAME%/%$day%_%$hour%.log")
набор правил (имя = "TCP_input") {
действие(
тип = "омфайл"
режим создания режима = "0755"
шаблон = "Формат файла"
dynafile="TCP_input"
)
}
# semanage port -a -t syslog_tls_port_t -p tcp <порт>
############### tls_input ################
ввод (тип = «imtcp» порт = «8611» набор правил = «tls_input»)
template(name="tls_input" type="string" string="var/log/remote/tls_input/%HOSTNAME%/%$day%_%$hour%.log")
набор правил (имя = "tls_input") {
действие(
тип = "омфайл"
режим создания режима = "0755"
шаблон = "Формат файла"
dynafile="tls_input"
)
}
У меня есть модули:
rsyslog.x86_64
rsyslog-gnutls.x86_64
rsyslog-gssapi.x86_64
rsyslog-relp.x86_64
