ข้ามไปยังเนื้อหาหลัก

การกำหนดค่า Syslog

การปรับใช้

  • ปรับใช้ Glasswall Halo (พร้อม syslog-ng) จาก OVA/VHD (โดยทำตามคำแนะนำมาตรฐาน)
  • อนุญาตทราฟฟิกขาเข้าจาก VM ของ Glasswall Halo ไปยังพอร์ตของเซิร์ฟเวอร์ syslog (โดยปกติคือ TCP 514) ใน security group.

การกำหนดค่าบริการ syslog-ng บน VM ของ Glasswall Halo

Glasswall Halo OVA/VHD มีตัวเลือกสำหรับติดตั้งและกำหนดค่าบริการ syslog-ng เมื่ออินสแตนซ์ Glasswall Halo เริ่มทำงานแล้ว ให้ทำตามขั้นตอนด้านล่าง:

  1. ตรวจสอบให้แน่ใจว่า VM ของ Glasswall Halo ได้ลงทะเบียนกับ RHEL แล้ว เพื่อให้สามารถติดตั้งแพ็กเกจจากอินเทอร์เน็ตได้.
  2. เริ่มการติดตั้งและการกำหนดค่าสคริปต์ syslog-ng ด้วย:
sudo bash ~/syslog-ng-install.sh
  1. เมื่อเสร็จสิ้นแล้ว ให้ดำเนินการตามขั้นตอนถัดไปด้านล่าง:
sudo bash ~/syslog_setup.sh
Enter IP address of Syslog server: <Syslog server IP>
Enter Port of Syslog server: <Syslog server port>
Configuring Syslog server details.....
....

  1. จากจุดนี้เป็นต้นไป บันทึกทั้งหมดจะถูกส่งต่อไปยังเซิร์ฟเวอร์ Syslog และจัดเก็บไว้ในไฟล์บันทึกของเซิร์ฟเวอร์ Syslog ที่เกี่ยวข้องซึ่งกำหนดค่าไว้ให้รับบันทึกจากระยะไกล ซึ่งรวมถึง:

    • บันทึก VM ของ Glasswall Halo (จัดเก็บไว้ใน /mnt/logging_data)
    • บันทึกคอนเทนเนอร์ทั้งหมด: (จัดเก็บไว้ใน/var/log/containers)
    • บันทึก Pods: (จัดเก็บไว้ใน /var/log/pods)

  2. ตรวจสอบการเชื่อมต่อกับเซิร์ฟเวอร์ syslog ด้วยคำสั่ง CLI ต่อไปนี้:

$ loggen -i -S -P <Syslog server IP> <Syslog server port>
count=1853, rate = 951.87 msg/sec
count=2329, rate = 951.65 msg/sec...

การกำหนดค่า TLS ของ syslog-ng บน VM ของ Glasswall Halo

ในกรณีที่เซิร์ฟเวอร์ Syslog ระยะไกลใช้การรับส่งแบบ TLS จำเป็นต้องทำการเปลี่ยนแปลงการกำหนดค่าต่อไปนี้บนเครื่อง Glasswall Halo

  1. วาง root ca ของใบรับรองเซิร์ฟเวอร์ไว้ในตำแหน่งหนึ่งบนเครื่อง Glasswall Halo (เช่น ที่ /opt/syslog-ng/etc/syslog-ng/ca.d)

  2. ในไฟล์การกำหนดค่า syslog-ng ที่ (/etc/syslog-ng/syslog-ng.conf) ให้แก้ไขบรรทัดหมายเลข 42-0 จาก: destination remote tcp("..." port(**));;

  3. เป็น: destination remote network("..." port(**) Transport("tls") Tls( ca-dir("/opt/syslog-ng/etc/syslog-ng/ca.d") Peer-verify(optional-untrusted) ) ); ;

  4. โดยที่:

  • Port ควรเป็นพอร์ต TLS ของเซิร์ฟเวอร์ syslog ระยะไกล
  • Peer-verify ควรเป็น optional-untrusted สำหรับ CA ที่ไม่น่าเชื่อถือ/ลงนามเอง หรือ required-trusted สำหรับ CA ที่เชื่อถือได้
  • รีสตาร์ท syslog-ng ด้วยคำสั่งด้านล่าง:
sudo systemctl restart syslog-ng
sudo systemctl restart gwsyslog.service

Glasswall syslog-ng บนเครื่อง Glasswall Halo ควรเชื่อมต่อกับเซิร์ฟเวอร์ syslog ระยะไกลแล้ว และกำลังส่งบันทึกที่ปลอดภัยผ่านพอร์ต TLS

อัปเดตล่าสุด เมื่อ