Configuración de HP Arcsight Logger para procesar logs de Apache a través de NFS

Publicado el 22 de Octubre de 2015 en las categorías
Configuración de HP Arcsight Logger para procesar logs de Apache a través de NFS

 

En la siguiente configuración, mostraremos cómo configurarla herramienta SIEM Arcsight Logger para recibir a través de Folder Follower Receiver de Apache transferidos por NFS.

En primer lugar vemos un diagrama que nos plantea toda la topología de los recursos:

Servidores Linux sobre ESXi con Arsight en funciones SIEM

Configuración en servidores Apache

En primer lugar configuraremos los servidores CentOS con Apache (ya instalado y funcionando) para compartir por NFS el directorio de logs: 
yum install nfs-utils nfs-utils-lib
chkconfig nfs on 
service rpcbind start
service nfs start
echo N > /sys/module/nfs/parameters/nfs4_disable_idmapping
nfsidmap -c
service rpcidmapd restart
Configuramos NFS editando el archivo /etc/exports: 
vi /etc/exports
/var/log/httpd 192.168.1.80(rw,sync,no_root_squash,no_subtree_check,nohide,crossmnt)

Actualizamos las exportaciones

exportfs -a

Ahora deberemos configurar los permisos de un usuario común arcsight

useradd arcsight
chown -R arcsight:arcsight /var/log/httpd
usermod -u 1500 arcsight 
groupmod -g 750 arcsight
find / -user <OLDUID> -exec chown -h 1500 {} ;
find / -group <OLDGID> -exec chgrp -h 750 {} ;
usermod -g 750 arcsight
Los valores 1500 y 750 son el UID y GID respectivamente que ya usa Arcsight. Para OLDUID y OLDGID deberemos ver los valores que tienen en el archivo /etc/password

Por último, debemos abrir puertos de NFS a una determinada IP:

iptables -I INPUT -m state --state NEW -p tcp -m multiport --dport 111,892,2049,32803 -s 192.168.0.0/24 -j ACCEPT
iptables -I INPUT -m state --state NEW -p udp-m multiport --dport 111,892,2049,32769 -s 192.168.0.0/24 -j ACCEPT

Configuración servidor Arcsight

Instalaremos y configuraremos NFS

yum install nfs-utils nfs-utils-lib
chkconfig nfs on 
service rpcbind start
service nfs start
echo N > /sys/module/nfs/parameters/nfs4_disable_idmapping
nfsidmap -c
service rpcidmapd restart

Ahora consiguraremos la máquina con el logger para recibir los archivos por NFS:

mkdir /opt/userdata/nfs
mkdir /opt/userdata/nfs/apache1
mkdir /opt/userdata/nfs/apache2
chown -R arcsight:arcsight /opt/userdata/nfs

añadimos en /etc/fstab

192.168.1.90:/var/log/httpd    /opt/userdata/nfs/apache1   nfs    rsize=8192,wsize=8192,timeo=14,intr
192.168.1.91:/var/log/httpd    /opt/userdata/nfs/apache2   nfs    rsize=8192,wsize=8192,timeo=14,intr

y por último

mount -a

Configuración backend de Arcsight

Pulsaremos sobre el menú Configuration / Receivers / Add

Añadiremos del tipo Folder Follower Receiver tal y como sigue

Arcsight add receiver

En la siguiente pantalla consiguramos para el access_log. Notar que /opt/userdata/nfs/apache1 es donde está corréctamente montado el sistema NFS.

Apache_access arcsight configuration

 

Configuraremos de la misma manera el error_log.

En el listado de Receivers activaremos el procesado de éstos y esperamos un poco para que sean procesados.


Apache Arsight Folder Follower Receiver

Y ya tenemos la visualización de eventos en nuestro servidor 1. Después procederemos a hacer lo mismo para el servidor 2.

Finalmente, podremos trabajar desde Arcsight con nuestros eventos para interpretarlos y determinarl las alarmas oportunas:

Arsight log view

Comentarios

Sin comentarios
Ha habido un error en el envío
Comentario enviado. Será revisado por la moderación antes de ser publicado.

Deja tu comentario

Tu nombre:
Tu email:
Tu comentario: