Системы защиты электронной почты
FortiSandbox
Для настройки FortiSandboх на отправку событий в Платформу Радар выполните следующие шаги:
-
Зайдите в веб-интерфейс системы под учетной записью с правами администратора системы.
-
Выберите последовательно пункты меню: «Log&Reports» -> «Log Servers» (см. рисунок 1).
Рисунок 1 -- Выбор логов.
-
Нажмите «Create New» и в открывшемся окне внесите следующие настройки:
- заполнить название в поле «Name»;
- выбрать протокол взаимодействия и формат отправки событий в поле «Type»;
- заполнить IP-адрес лог-коллектора в поле «Log Server Address»;
- заполнить порт, открытый на лог-коллекторе для приема событий от данного источника, в поле «Port»;
- для включения отправки выбрать «Enable» в поле «Status»;
- выбрать уровень логирования отправляемых событий, проставив чекбоксы напротив соответствующих полей «Alert Logs», «Critical Logs» и т.п.
-
Нажмите «OK» для сохранения изменений (см. рисунок 2).
Рисунок 2 -- Сохранение изменений.
Microsoft Exchange Server
Данное руководство описывает механизм сбора событий MS Exchange версий 2013/2016/2019 и отправки их в Платформу Радар.
Предполагается, что для анализа и корреляции будут собираться следующие данные: - OWA (IIS) logs. - SMTP protocol logs - Message tracking logs - Exchange CosmosQueue Logs (Audit logs)
Настройка сбора OWA (IIS) logs
Расположение по умолчанию: C:\inetpub\logs\LogFiles\W3SVC1; C:\inetpub\logs\LogFiles\W3SVC2
После развертывания Exchange начинает писать эти логи автоматически и в большинстве случаев никаких дополнительных настроек этого типа источника не требуется.
Настройка SMTP protocol logs
Расположение по умолчанию: C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog
Включение ведения журнала протокола SMTP с помощью Центра администрирования Exchange
- Откройте консоль Exchange Administration Center.
-
Перейдите во вкладку Mail Flow > Receive Connectors (см. рисунок 3).
Рисунок 3 -- Вкладка "Mail Flow".
-
Выберите нужный коннектор и нажмите Edit.
- Перейдите во вкладку General
-
В поле Protocol logging level list выберите Verbose (см. рисунок 4).
Рисунок 4 -- Настройка параметров логирования.
-
Сохраните изменения, нажав кнопку Save.
Настройка Message tracking logs
Расположение по умолчанию: C:\Program Files\Microsoft Exchange Server\V15\TransportRoles\Logs\MessageTracking
Настройка отслеживания сообщений на серверах почтовых ящиков с помощью Центра администрирования Exchange
- Откройте консоль Exchange Administration Center.
-
Перейдите в раздел Servers,выберите почтовый сервер, который нужно настроить, и нажмите кнопку Edit (см. рисунок 5).
Рисунок 5 -- Выбор почтового сервера.
-
На странице свойств сервера кликните на Transport logs. В разделе Message tracking log измените следующие параметры (см. рисунок 6):
- Enable message tracking log. Чтобы отключить отслеживание сообщений на сервере, снимите флажок. Чтобы включить отслеживание сообщений на сервере, установите этот флажок.
- Message tracking log path. Указанное значение должно находиться на локальном сервере Exchange Server. Если папка не существует, она будет создана после нажатия кнопки Сохранить.
Рисунок 6 -- Настройка логирования.
-
Сохраните изменения, нажав кнопку Save.
Настройка Exchange CosmosQueue Logs (Audit logs)
Расположение: C:\Program Files\Microsoft\Exchange Server\V15\Logging\CosmosQueue
После развертывания Exchange начинает писать эти логи автоматически и в большинстве случаев никаких дополнительных настроек этого типа источника не требуется.
Настройка лог-коллектора
Предпочтительным способом сбора данных является установка лог коллектора на серверах Exchange, поскольку в данном случае не придется открывать сетевой доступ к каталогам с логами. По возможности используйте только этот способ как наиболее безопасный.
Альтернативный способ - открыть сетевой доступ к каталогам с логами и настроить удаленный лог коллектор для сбора данных из сетевой шары.
Первый способ:
- Установите лог-коллектор на Exchange сервер согласно инструкции.
- Настройте лог-коллектор. Пример конфигурационного файла приведен ниже. Убедитесь, что файлы логов находятся по путям, указанным в лог коллекторе. Для примера приведены стандартные пути к логам, но если администратор изменил местонахождение файлов, исправьте пути в файле конфигурации.
- При необходимости откройте необходимые порты на firewall (порты указаны в файле конфигурации).
- Запустите службу лог-коллектора.
- Проверьте наличие событий в интерфейсе Платформы Радар.
Пример файла конфигурации:
В данном примере указаны логин/пароль в открытом виде для наглядности, но есть возможность маскировать учетные данные в файле конфигурации с помощью защищенного хранилища (см. инструкцию к лог коллектору).
license_path: "C:/Program Files/Log Collector//pgr-agent.lic"
cluster:
url: "https://адрес_сервера"
api_key: "api_key"
controller:
port: 48000
metric_server:
port: 48005
secret_file: "C:/Program Files/Log Collector/secret"
secret_storage: "C:/Program Files/Log Collector/secret_storage"
api_server:
address: "server ip or address"
port: 8080
read_timeout: 60
write_timeout: 60
wait: 5
enable_tls: false
cert_file: "C:/Program Files/Log Collector/certs/server.crt"
key_file: "C:/Program Files/Log Collector/certs/server.key"
cert_key_pass: ""
require_client_cert: false
ca_file: "C:/Program Files/Log Collector/certs/ca.crt"
log_level: "WARN"
journal:
port: 48004
log_level: "INFO"
log_path: "C:/Program Files/Log Collector/journal.log"
rotation_size: 30
max_backups: 7
max_age: 7
owa_logs: &owa_logs
id: "owa_logs"
poll_interval: 1
files: ["C:\\\\inetpub\\logs\\LogFiles"]
using_regexp: true
regexp_starting_dir: "c://inetpub/logs/LogFiles/"
regexp_expression: ".log$"
dir_check_interval: 2
read_from_last: true
enable_watcher: true
log_level: "INFO"
format: "json"
encoding:
change_to_utf8: false
original_encoding: "cp1251"
filters:
blacklist:
- "^#"
smtp_logs: &smtp_logs
id: "smtp_logs"
poll_interval: 1
files: ["C:\\\\Program\ Files\\Microsoft\\Exchange\ Server\\V15\\TransportRoles\\Logs\\FrontEnd\\ProtocolLog"]
using_regexp: true
regexp_starting_dir: "c://Program Files/Microsoft/Exchange Server/V15/TransportRoles/Logs/FrontEnd/ProtocolLog/"
regexp_expression: ".LOG$"
dir_check_interval: 2
read_from_last: true
enable_watcher: true
log_level: "INFO"
format: "json"
encoding:
change_to_utf8: false
original_encoding: "cp1251"
filters:
blacklist:
- "^#"
message_tracking: &message_tracking
id: "message_tracking"
poll_interval: 1
files: ["C:\\\\Program\ Files\\Microsoft\\Exchange\ Server\\V15\\TransportRoles\\Logs\\MessageTracking"]
using_regexp: true
regexp_starting_dir: "C://Program Files/Microsoft/Exchange Server/V15/TransportRoles/Logs/MessageTracking"
regexp_expression: ".LOG$"
dir_check_interval: 2
read_from_last: true
enable_watcher: true
log_level: "INFO"
format: "json"
encoding:
change_to_utf8: false
original_encoding: "cp1251"
filters:
blacklist:
- "^#"
audit_log: &audit_log
id: "audit_log"
poll_interval: 1
files: ["C:\\\\Program\ Files\\Microsoft\\Exchange\ Server\\V15\\Logging\\CosmosQueue"]
using_regexp: true
regexp_starting_dir: "C://Program Files/Microsoft/Exchange Server/V15/Logging/CosmosQueue"
regexp_expression: ".LOG$"
dir_check_interval: 2
read_from_last: true
enable_watcher: true
log_level: "INFO"
format: "json"
encoding:
change_to_utf8: false
original_encoding: "cp1251"
filters:
blacklist:
- "^#"
tcp_output_owa: &tcp_output_owa
id: "tcp_output_owa"
target_host: "pangeo_server_address"
port: 1530
tcp_output_smtp: &tcp_output_smtp
id: "tcp_output_smtp"
target_host: "pangeo_server_address"
port: 1531
tcp_output_message_tracking: &tcp_output_message_tracking
id: "tcp_output_message_tracking"
target_host: "pangeo_server_address"
port: 1532
tcp_output_audit_log: &tcp_output_audit_log
id: "tcp_output_audit_log"
target_host: "pangeo_server_address"
port: 1533
senders:
port: 48002
tcp:
- <<: *tcp_output_owa
- <<: *tcp_output_smtp
- <<: *tcp_output_message_tracking
- <<: *tcp_output_audit_log
collectors:
event_log:
- <<: *eventlog_collector
files:
- <<: *owa_logs
- <<: *smtp_logs
- <<: *message_tracking
- <<: *audit_log
route_owa_logs: &route_owa_logs
collector_id:
- "owa_logs"
sender_id:
- "tcp_output_owa"
route_smtp_logs: &route_smtp_logs
collector_id:
- "smtp_logs"
sender_id:
- "tcp_output_smtp"
route_message_tracking: &route_message_tracking
collector_id:
- "message_tracking"
sender_id:
- "tcp_output_message_tracking"
route_audit_log: &route_audit_log
collector_id:
- "audit_log"
sender_id:
- "tcp_output_audit_log"
routers:
- <<: *route_owa_logs
- <<: *route_smtp_logs
- <<: *route_message_tracking
- <<: *route_audit_log
Второй способ:
- Откройте сетевой доступ к каталогам с логами.
- Создайте пользователя с правами доступа к этим каталогам по сети.
- На удаленном лог-коллекторе настройте файл конфигурации (пример конфигурационного файла лог коллектора для сбора логов по протоколу smb приведен ниже). Обратите внимание, что пути к логам нужно будет прописать корректно, в соответствии с их расположением в вашей системе.
- Проверьте доступность необходимых адресов и портов, в случае недоступности откройте их на firewall.
- Перезапустите службу лог-коллектора
- Проверьте наличие событий в интерфейсе Платформы Радар.
Пример файла конфигурации лог коллектора для сбора логов по протоколу smb:
В данном примере указаны логин/пароль в открытом виде для наглядности, но есть возможность маскировать учетные данные в файле конфигурации с помощью защищенного хранилища (см. инструкцию к лог-коллектору).
license_path: "C:/Program Files/Log Collector//pgr-agent.lic"
cluster:
url: "https://адрес_сервера"
api_key: "api_key"
controller:
port: 48000
metric_server:
port: 48005
secret_file: "C:/Program Files/Log Collector/secret"
secret_storage: "C:/Program Files/Log Collector/secret_storage"
api_server:
address: "server ip or address"
port: 8080
read_timeout: 60
write_timeout: 60
wait: 5
enable_tls: false
cert_file: "C:/Program Files/Log Collector/certs/server.crt"
key_file: "C:/Program Files/Log Collector/certs/server.key"
cert_key_pass: ""
require_client_cert: false
ca_file: "C:/Program Files/Log Collector/certs/ca.crt"
log_level: "WARN"
journal:
port: 48004
log_level: "INFO"
log_path: "C:/Program Files/Log Collector/journal.log"
rotation_size: 30
max_backups: 7
max_age: 7
smb_owa_logs: &smb_owa_logs
id: "smb_owa_logs"
remote_servers: ["<ip адрес удаленного узла>", "<имя удаленного узла>"]
port: 445
share: "<путь к общему ресурсу>"
domain: "."
user: "user"
password: "password"
poll_interval: 1
files: [ "<путь к общему ресурсу>\\LogFiles" ]
using_regexp: true
regexp_starting_dir: "<путь к общему ресурсу>/LogFiles"
regexp_expression: ".log$"
dir_check_interval: 2
read_from_last: true
enable_watcher: true
format: "json"
log_level: "INFO"
filters:
blacklist:
- "^#"
smb_smtp_logs: &smb_smtp_logs
id: "smb_smtp_logs"
remote_servers: ["<ip адрес удаленного узла>", "<имя удаленного узла>"]
port: 445
share: "<путь к общему ресурсу>"
domain: "."
user: "user"
password: "password"
poll_interval: 1
files: [ "<путь к общему ресурсу>\\Logs\\FrontEnd\\ProtocolLog" ]
using_regexp: true
regexp_starting_dir: "<путь к общему ресурсу>/Logs/FrontEnd/ProtocolLog/"
regexp_expression: ".LOG$"
dir_check_interval: 2
read_from_last: true
enable_watcher: true
format: "json"
log_level: "INFO"
filters:
blacklist:
- "^#"
smb_message_tracking: &smb_message_tracking
id: "smb_message_tracking"
remote_servers: ["<ip адрес удаленного узла>", "<имя удаленного узла>"]
port: 445
share: "<путь к общему ресурсу>"
domain: "."
user: "user"
password: "password"
poll_interval: 1
files: [ "<путь к общему ресурсу>\\Logs\\MessageTracking" ]
using_regexp: true
regexp_starting_dir: "<путь к общему ресурсу>/Logs/MessageTracking"
regexp_expression: ".LOG$"
dir_check_interval: 2
read_from_last: true
enable_watcher: true
format: "json"
log_level: "INFO"
filters:
blacklist:
- "^#"
smb_audit_log: &smb_audit_log
id: "smb_audit_log"
remote_servers: ["<ip адрес удаленного узла>", "<имя удаленного узла>"]
port: 445
share: "<путь к общему ресурсу>"
domain: "."
user: "user"
password: "password"
poll_interval: 1
files: [ "<путь к общему ресурсу>\\Logging\\CosmosQueue" ]
using_regexp: true
regexp_starting_dir: "<путь к общему ресурсу>/Logging/CosmosQueue"
regexp_expression: ".LOG$"
dir_check_interval: 2
read_from_last: true
enable_watcher: true
format: "json"
log_level: "INFO"
filters:
blacklist:
- "^#"
tcp_output_owa: &tcp_output_owa
id: "tcp_output_owa"
target_host: "pangeo_server_address"
port: 1530
tcp_output_smtp: &tcp_output_smtp
id: "tcp_output_smtp"
target_host: "pangeo_server_address"
port: 1531
tcp_output_message_tracking: &tcp_output_message_tracking
id: "tcp_output_message_tracking"
target_host: "pangeo_server_address"
port: 1532
tcp_output_audit_log: &tcp_output_audit_log
id: "tcp_output_audit_log"
target_host: "pangeo_server_address"
port: 1533
senders:
port: 48002
tcp:
- <<: *tcp_output_owa
- <<: *tcp_output_smtp
- <<: *tcp_output_message_tracking
- <<: *tcp_output_audit_log
collectors:
smb:
- <<: *smb_owa_logs
- <<: *smb_smtp_logs
- <<: *smb_message_tracking
- <<: *smb_audit_log
route_owa_logs: &route_owa_logs
collector_id:
- "owa_logs"
sender_id:
- "tcp_output_owa"
route_smtp_logs: &route_smtp_logs
collector_id:
- "smtp_logs"
sender_id:
- "tcp_output_smtp"
route_message_tracking: &route_message_tracking
collector_id:
- "message_tracking"
sender_id:
- "tcp_output_message_tracking"
route_audit_log: &route_audit_log
collector_id:
- "audit_log"
sender_id:
- "tcp_output_audit_log"
routers:
- <<: *route_owa_logs
- <<: *route_smtp_logs
- <<: *route_message_tracking
- <<: *route_audit_log
Kaspersky Secure Mail Gateway
Данное руководство описывает механизм сбора событий Kaspersky Secure Mail Gateway и отправки их в Платформу Радар.
Подключение к узлам кластера Kaspersky Secure Mail Gateway по протоколу SSH
Для начала сгенерируйте ключ SSH.
Откройте терминал и выполните команду:
$ ssh-keygen -t rsa
На консоль будет выведен следующий диалог:
Enter file in which to save the key (/home/user/.ssh/id_rsa):
Нажмите на клавишу Enter. Далее система предложит ввести кодовую фразу для дополнительной защиты SSH-подключения:
Enter passphrase (empty for no passphrase):
Этот шаг можно пропустить. При ответе на этот и следующий вопрос просто нажмите клавишу Enter.
После этого ключ будет создан, а на консоль будет выведено следующее сообщение:
Your identification has been saved in /home/user/.ssh/id_rsa.
Your public key has been saved in /home/user/.ssh/id_rsa.pub.
The key fingerprint is:
476:b2:a8:7f:08:b4:c0:af:81:25:7e:21:48:01:0e:98 user@localhost
The key's randomart image is:
+--[ RSA 2048]----+
|+.o. |
|ooE |
|oo |
|o.+.. |
|.+.+.. S . |
|....+ o + |
| .o .... |
| . .. . |
| .... |
+-----------------+
Далее выполните в терминале команду:
$ cat ~/.ssh/id_rsa.pub
На консоль будет выведен ключ. Скопируйте его.
Далее нужно загрузить открытый ключ SSH через веб-интерфейс программы. В окне веб-интерфейса Kaspersky Secure Mail Gateway выберите раздел Settings → Application access → SSH access (см. рисунок 7).
Рисунок 7 -- Загрузка открытого ключа.
Нажмите на кнопку Add key. Откроется окно Add an SSH public key (см. рисунок 8).
Рисунок 8 -- Добавление открытого ключа.
В поле Description введите любую информацию о загружаемом ключе SSH. В поле Key Data скопируйте сгенерированный ранее открытый ключ SSH. Нажмите на кнопку Add.
Открытый ключ SSH будет добавлен. Администратор Kaspersky Secure Mail Gateway сможет подключиться к любому узлу кластера при наличии соответствующего закрытого ключа SSH.
Протестируйте подключение (приведен пример команды, для подключения к вашей консоли; введите путь к вашему ключу и правильный адрес сервера):
# ssh -vvv -i .ssh/ksmg_rsa root@your-ksmg-ip-address
Настройка экспорта событий в формате CEF
Чтобы настроить экспорт событий в формате CEF:
Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.
Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template
.
Если вы хотите выбрать категорию (facility) для syslog, в которую будут экспортироваться события, в блоке siemSettings укажите одно из следующих значений параметра facility:
Auth.
Authpriv.
Cron.
Daemon.
Ftp.
Lpr.
Mail.
News.
Syslog.
User.
Uucp.
Local0.
Local1.
Local2.
Local3.
Local4.
Local5.
Local6.
Local7.
Рекомендуется указать такую категорию (facility) для syslog, которая не используется другими программами на сервере. По умолчанию установлено значение local2.
Установите значение параметра enabled равным true.
Задайте уровень детализации экспорта, установив одно из следующих значений параметра logLevel: - Error – экспорт событий, связанных с возникновением ошибок. - Info – экспорт всех событий.
Пример:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
}
Также в файле /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template
поставьте пробел в следующей строке (см. рисунок 9).
Рисунок 9 -- Редактирование файла конфигурации.
Это необходимо сделать для корректного парсинга всех логов. Проблема заключается в следующем: формат CEF, в котором пересылаются логи, выглядит следующим образом:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
Но KSMG отправляет часть логов без обязательного поля Extension. Пробел решает эту проблему и все логи парсятся правильно.
В файле /etc/rsyslog.conf
измените строку
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
на
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages
Добавьте в файл /etc/rsyslog.conf
следующую строку:
<категория (facility), выбранная на шаге 2>.* -/var/log/ksmg-cef-messages
Создайте файл /var/log/ksmg-cef-messages
и настройте права доступа к нему. Для этого выполните команды:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog
следующие строки:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
Перезапустите службу rsyslog
. Для этого выполните команду:
service rsyslog restart
В веб-интерфейсе программы в разделе Параметры → Журналы и события → События внесите изменение в значение любого параметра и нажмите на кнопку Сохранить. Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра. Экспорт событий в формате CEF будет настроен.
Настройка публикации событий Kaspersky Secure Mail Gateway в платформу Пангео Радар
Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите публиковать в Платформу Радар.
Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.
Укажите адрес и порт подключения к серверу с SIEM-системой. Для этого добавьте в конец файла /etc/rsyslog.conf
следующие строки:
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<категория (facility)>.* @@<IP-адрес лог коллектора>:<порт(TCP)>
Перед внесением изменений в файл /etc/rsyslog.conf
рекомендуется сделать его резервную копию.
Перезапустите службу rsyslog
. Для этого выполните команду:
service rsyslog restart
Публикация событий настроена.
Настройка лог-коллектора на прием событий от Kaspersky Secure Mail Gateway
Пример конфигурационного файла лог коллектора:
cluster:
url: "https://адрес_сервера"
api_key: "api_key"
controller:
port: 48000
metric_server:
port: 48005
secret_file: "/opt/pangeoradar/configs/logcollector/secret"
secret_storage: "/opt/pangeoradar/configs/logcollector/secret_storage"
api_server:
address: "server ip or address"
port: 8001
read_timeout: 60
write_timeout: 60
wait: 5
enable_tls: true
cert_file: "/opt/pangeoradar/certs/agent.crt"
key_file: "/opt/pangeoradar/certs/agent.key"
cert_key_pass: ""
require_client_cert: false
ca_file: "/opt/pangeoradar/certs/pgr.crt"
log_level: "INFO"
journal:
port: 48004
log_level: "INFO"
log_path: "/var/log/logcollector/journal.log"
rotation_size: 30
max_backups: 7
max_age: 7
tcp_input_ksmg: &tcp_input_ksmg
id: "tcp_input_ksmg"
host: "collector ip or address"
port: 2609 # задайте любой незанятый порт, не забудьте указать его в конфиг файле rsyslog на сервере KSMG
enable_tls: false
compression_enabled: false
connections_limit: 10
format: "raw"
log_level: "INFO"
tcp_output_ksmg: &tcp_output_ksmg
id: "tcp_output_ksmg"
target_host: "Pangeo server ip"
port: 2608
senders:
port: 48001
tcp:
- <<: *tcp_output_ksmg
collectors:
log_level: "INFO"
tcp_receiver:
- <<: *tcp_input_ksmg
route_ksmg: &route_ksmg
collector_id:
- "tcp_input_ksmg"
sender_id:
- "tcp_output_ksmg"
routers:
- <<: *route_ksmg
При необходимости откройте необходимые порты на firewall (порты указаны в файле конфигурации).
Перезапустите служб лог-коллектора.
Проверьте наличие событий в интерфейсе Платформы Радар.
IBM Postfix
Настройка отправки событий Postfix MTA осуществляется с помощью rsyslog.
Для того, чтобы настроить отправку событий Postfix с помощью rsyslog, необходимо выполнить следующие действия:
- Подключиться по SSH к узлу с установленным Postfix MTA.
- Открыть файл /etc/rsyslog.conf.
-
Добавить строку:
mail.*@<IP address>:<Port>
где - адрес коллектора событий SIEM.
-
Сохранить файл;
-
Перезапустить службу rsyslog или перезагрузить ее настройки:
# systemctl restart rsyslog # systemctl reload rsyslog
При необходимости, в конфигурационном файле Postfix /etc/postfix/main.cf
можно указать нестандартное значение параметра syslog_facility
(идентификатора источника событий - по умолчанию mail), затем перезапустить службу Postfix и внести новое значение в файл конфигурации rsyslog.conf.
В свою очередь, настройка конфигурационного файла коллектора событий SIEM является стандартной для типового источника событий syslog:
udp_input: &udp_input
id: "udp_input"
host: "0.0.0.0"
port: 514
sock_buf_size: 0
format: "json"
log_level: "INFO"
tcp_output: &tcp_output
id: "tcp_output"
target_host: "<log_collector_ip>"
port: <log_source_port>
sock_buf_size: 0
log_level: "INFO"
ssl_enable: false
require_cert: false
ssl_compression: false
batch_mode_enable: false
collectors:
udp_receiver:
- <<: *udp_input
senders:
port: 48002
tcp:
- <<: *tcp_output
route_1: &route_1
collector_id:
- "udp_input"
sender_id:
- "tcp_output"
routers:
- <<: *route_1