Интеграция логов в SIEM системы

В статье рассматривается построение централизованного пайплайна логирования с использованием протокола Syslog и сервиса rsyslog для доставки событий в SIEM-систему.

Введение

Зачем нужно централизованное логирование

Централизованное логирование необходимо для сбора, хранения и анализа логов из разных систем в одном месте. Это упрощает диагностику инцидентов, позволяет коррелировать события между сервисами и повышает прозрачность работы инфраструктуры.

С использованием протокола Syslog обеспечивается надёжная доставка логов в SIEM-системы, что особенно важно для мониторинга, аудита и обеспечения безопасности.

Роль SIEM

SIEM-система играет ключевую роль в централизованном логировании, обеспечивая сбор, нормализацию и анализ событий безопасности из различных источников. Она агрегирует логи, поступающие, например, через Syslog, и преобразует их в единый формат для последующей обработки.

Где используется

SIEM-системы используются в инфраструктурах, где требуется централизованный контроль, анализ событий и обеспечение безопасности.

Настройка

Настройка логирования Бипиума в файл

Данная инструкция предполагает, что Бипиум развернут в виде службы Linux (systemd).

Конфигурация службы в Linux, управляемой systemd, хранится в unit-файле по пути (название файла может отличаться, в зависимости от заданного имени при настройке службы):

/etc/systemd/system/bpium.service

В конфигурацию, в блок [Service] необходимо добавить следующие строки (например через nano или vim):

StandardOutput=append:/var/log/bpium.log
StandardError=append:/var/log/bpium.log

После сохранения и закрытия файла необходимо выполнить перезагрузку конфигурации systemd и перезапустить сервис Бипиум:

systemctl daemon-reload
systemctl restart bpium

После внесенных изменений логи Бипиума будут выводиться в файл /var/log/bpium.log

Rsyslog

Описание

Rsyslog - это высокопроизводительный сервис (демон) для сбора, обработки и передачи логов в Linux-системах.

Он реализует протокол Syslog и используется для организации централизованного логирования.

На практике rsyslog часто выступает как агент или коллектор логов, который собирает события с серверов и отправляет их дальше — например, в SIEM или централизованное хранилище.

Настройка

Необходимо установить rsyslog с помощью команды:

sudo apt install rsyslog

После установки, общий конфигурационный файл rsyslog будет храниться по пути:

/etc/rsyslog.conf

Нам необходимо создать пользовательский конфиг в директории с помощью команды:

touch /etc/rsyslog.d/bpium.conf

И вставить следующие значения:

module(load="imfile")

input(type="imfile"
      File="/var/log/bpium.log"
      Tag="bpium"
      Severity="info"
      Facility="local0")
      
## Здесь необходимо указать адрес до SIEM сервиса
local0.* @@<HOST:IP>

После сохранения и закрытия файла необходимо перезапустить службу rsyslog:

systemctl restart rsyslog

В результате настройки rsyslog обеспечена возможность передачи событий информационной безопасности во внешнюю SIEM-систему по протоколу Syslog.

Сформированные приложением события, записываемые в файл /var/log/bpium.log, обрабатываются rsyslog с использованием модуля imfile и преобразуются в формат Syslog.

Далее события могут быть переданы на внешний syslog-сервер для последующей обработки в SIEM-системах, что обеспечивает совместимость с решениями класса Security Information and Event Management.