Настройка отправки событий в SIEM-систему

Для интеграции со сторонними сервисами, например SIEM-системами, требуется логировать события Rudesktop в Syslog в формате CEF

Настройка

  1. Расскоментировать в файле /etc/rsyslog.conf строки:

module(load="imtcp")
input(type="imtcp" port="514")

  1. Добавить в конец данного файла строку:

*.* @127.0.0.1

Опасно

Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы

  1. Перезапустить сервис rsyslog:

systemctl restart rsyslog

  1. Внести в файл /etc/rudesktop/settings параметры:

SYSLOG_HOST = 'localhost'
SYSLOG_PORT = 514

  1. Перезагрузить сервер с помощью команды

rude restart