Настройка отправки событий в SIEM-систему¶

Для интеграции со сторонними сервисами, например SIEM-системами, требуется логировать события Rudesktop в Syslog в формате CEF

Настройка¶

Раскомментировать в файле /etc/rsyslog.conf строки:
module(load="imtcp") input(type="imtcp" port="514")
Добавить в конец данного файла строку:
*.* @127.0.0.1
Опасно

Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы
Перезапустить сервис rsyslog:
systemctl restart rsyslog
Внести в файл /etc/rudesktop/settings параметры:
SYSLOG_HOST = 'localhost' SYSLOG_PORT = 514
Перезагрузить сервер с помощью команды
rude restart

Создать новый файл по пути /etc/syslog-ng/conf.d/remote-514.conf и добавить в него следующее содержимое:

source s_remote_514 {
    tcp(ip("0.0.0.0") port(514));
    udp(ip("0.0.0.0") port(514));
};
log {
    source(s_remote_514);
    destination(d_syslog);
};

Перезапустить сервис syslog-ng:
systemctl restart syslog-ng
Внести в файл /etc/rudesktop/settings параметры:
SYSLOG_HOST = 'localhost' SYSLOG_PORT = 514
Перезагрузить сервер с помощью команды
rude restart