第 10 章使用 syslog 协议集成

syslog 是一个事件日志协议，应用程序用来发送消息到中央位置，如 SIEM 或 syslog 收集器，用于数据保留和安全调查。使用 Red Hat Advanced Cluster Security for Kubernetes，您可以使用 syslog 协议发送警报和审计事件。

注意

使用 syslog 协议转发事件需要 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.52 或更新版本。
当使用 syslog 集成时，Red Hat Advanced Cluster Security for Kubernetes 会转发您配置和所有审计事件的违反警报。
目前，Red Hat Advanced Cluster Security for Kubernetes 只支持 CEF (Common Event Format)。

以下步骤代表了将 Red Hat Advanced Cluster Security for Kubernetes 与 syslog 事件接收器集成的高级别工作流：

配置后，Red Hat Advanced Cluster Security for Kubernetes 会自动发送所有违反情况和审计事件到配置的 syslog 接收器。

10.1. 配置与 Red Hat Advanced Cluster Security for Kubernetes 的 syslog 集成

在 Red Hat Advanced Cluster Security for Kubernetes 中创建一个新的 syslog 集成。

流程

在 RHACS 门户网站中，进入 Platform Configuration Integrations。
向下滚动到 Notifier Integrations 部分，然后选择 Syslog。
点 New Integration （添加图标）。
输入 Integration Name 的名称。
从 local0 到 local7 选择 Logging Facility 值。
输入您的 接收主机地址 和 接收器端口号。
如果使用 TLS，请打开 Use TLS 切换。
如果您的 syslog 接收器使用没有信任的证书，请打开 Disable TLS Certificate Validation (Insecure) 切换。否则，请关闭该切换。
选择 Test (勾号图标 )来发送测试信息，以验证与通用 Webhook 集成是否正常工作。
选择 Create (保存 图标)以创建配置。