Настройка отправки событий
Эта инструкция разработана для Debian 9. В других ОС названия служб и расположение конфигурационных файлов могут отличаться.
Для настройки отправки событий в MaxPatrol SIEM нужно настроить сохранение событий источника на локальном syslog-сервере и настроить syslog-сервер для перенаправления событий на внешний syslog-сервер.
/opt/ptisim/etc/ptisim.conf.core → features в параметре siem укажите true.core → siem в параметре mode укажите json.sudo systemctl restart ptisim-core
/etc/rsyslog.conf.Modules раскомментируйте строки:- если нужно получать события на UDP-порт 514:
#module(load="imudp") #input(type="imudp" port="514")
- если нужно получать события на TCP-порт 1468:
#module(load="imtcp") #input(type="imtcp" port="1468")
- если события нужно отправлять на UDP-порт 514:
*.* @<IP-адрес MP 10 Collector>:514- если события нужно отправлять на TCP-порт 1468:
*.* @@<IP-адрес MP 10 Collector>:1468service rsyslog restart