第 10 章使用 syslog 协议集成

Syslog 是一个事件日志协议，应用程序用来发送消息到中央位置，如 SIEM 或 syslog 收集器，用于数据保留和安全调查。使用 Red Hat Advanced Cluster Security for Kubernetes，您可以使用 syslog 协议发送警报和审计事件。

注意

使用 syslog 协议转发事件需要 Red Hat Advanced Cluster Security for Kubernetes 版本 3.0.52 或更新版本。
当使用 syslog 集成时，Red Hat Advanced Cluster Security for Kubernetes 会转发您配置和所有审计事件的违反警报。
目前，Red Hat Advanced Cluster Security for Kubernetes 只支持 CEF （通用事件格式）。

以下步骤代表了将 Red Hat Advanced Cluster Security for Kubernetes 与 syslog 事件接收器集成的高级别工作流：

配置后，Red Hat Advanced Cluster Security for Kubernetes 会自动将所有违反和审计事件发送到配置的 syslog 接收器。

10.1. 配置与 Red Hat Advanced Cluster Security for Kubernetes 的 syslog 集成
复制链接

在 Red Hat Advanced Cluster Security for Kubernetes (RHACS)中创建一个新的 syslog 集成。

流程

在 RHACS 门户中，进入 Platform Configuration Integrations。
向下滚动到 Notifier Integrations 部分，然后选择 Syslog。
点 New Integration （添加图标）。
输入 Integration Name 的名称。
在 local0 到 local7 中选择 Logging Facility 值。
输入您的 Receiver Host address 和 Receiver Port number。
如果使用 TLS，请打开 Use TLS 切换。
如果您的 syslog 接收器使用不被信任的证书，请打开 Disable TLS 证书验证(Insecure) 切换。否则，请关闭此切换。
点 Add new extra 字段 添加额外的字段。例如，如果您的 syslog 接收器接受来自多个源的对象，在 Key 和 Value 字段中输入 source 和 rhacs。
您可以使用 syslog 接收器中的自定义值过滤，以识别 RHACS 中的所有警报。
选择 Test （checkmark 图标）来发送测试信息，以验证与您的通用 Webhook 集成是否正常工作。
选择 Create (save icon)来创建配置。

返回顶部