第 10 章 使用 syslog 协议集成
Syslog 是一个事件日志协议,应用程序用来发送消息到中央位置,如 SIEM 或 syslog 收集器,用于数据保留和安全调查。使用 Red Hat Advanced Cluster Security for Kubernetes,您可以使用 syslog 协议发送警报和审计事件。
注意
- 使用 syslog 协议转发事件需要 Red Hat Advanced Cluster Security for Kubernetes 3.0.52 或更新版本。
- 当使用 syslog 集成时,Red Hat Advanced Cluster Security for Kubernetes 会转发违反您配置和所有审计事件的警报。
- 目前,Red Hat Advanced Cluster Security for Kubernetes 只支持 CEF (通用事件格式)。
以下步骤代表了将 Red Hat Advanced Cluster Security for Kubernetes 与 syslog 事件接收器集成的高级工作流:
- 设置 syslog 事件接收器以接收警报。
- 使用接收器的地址和端口号在 Red Hat Advanced Cluster Security for Kubernetes 中设置通知。
配置后,Red Hat Advanced Cluster Security for Kubernetes 会自动将所有违反和审计事件发送到配置的 syslog 接收器。
10.1. 配置与 Red Hat Advanced Cluster Security for Kubernetes 的 syslog 集成
在 Red Hat Advanced Cluster Security for Kubernetes (RHACS)中创建一个新的 syslog 集成。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Integrations。 - 向下滚动到 Notifier Integrations 部分,然后选择 Syslog。
- 点 New Integration (添加图标)。
- 输入 集成名称。
-
在
local0到local7中选择 Logging Facility 值。 - 输入您的 Receiver Host address 和 Receiver Port number。
- 如果使用 TLS,请打开 Use TLS 切换。
- 如果您的 syslog 接收器使用不被信任的证书,请打开 Disable TLS Certificate Validation (Insecure) 切换。否则,将此关闭关闭。
点 Add new extra 字段 添加额外的字段。例如,如果您的 syslog 接收器接受来自多个源的对象,请在 Key 和 Value 字段中键入
source和rhacs。您可以使用 syslog 接收器中的自定义值来识别来自 RHACS 的所有警报。
-
选择 Test (
checkmark图标)来发送测试信息,以验证与您的通用 Webhook 集成是否正常工作。 -
选择 Create (
saveicon)来创建配置。
