diff --git a/assets/lab01-01.png b/assets/lab01-01.png new file mode 100644 index 0000000..2992c44 Binary files /dev/null and b/assets/lab01-01.png differ diff --git a/roteiros/03-lab01/README.md b/roteiros/03-lab01/README.md index 95534d0..58f9784 100644 --- a/roteiros/03-lab01/README.md +++ b/roteiros/03-lab01/README.md @@ -1 +1,50 @@ -ops \ No newline at end of file +**Lab 01 :: Ingestão Direta de Logs (Linux + RSyslog)** + +![](../../assets/lab01-01.png) + +Neste primeiro laboratório o objetivo é enviar Logs de um host com Linux (Debian) diretamente a partir do RSyslog para o RK-SIEM. + +Para isso utilizaremos um Docker com o Debian Linux "enxuto" (slim) adicionado dos seguintes pacotes: + + + +O módulo *rsyslog-mmjsonparse* (presente no pacote RSyslog) será ativado para envio de Logs no formato JSON. + +o módulo *omelasticsearch* (presente no pacote RSyslog-ElasticSearch) será ativado para envio de logs em bloco (bulk) para o RK-SIEM/OpenSearch. + +Conteúdo do docker-compose.yml referente ao Host 01: + +``` +services: + rk-siem-host01: + image: ricardokleber/rk-siem-host01:latest + container_name: rk-siem-host01 + hostname: rk-siem-host01 + tty: true + stdin_open: true + restart: always +``` + +Conteúdo adicionado ao arquivo de configuração do RSyslog (*/etc/rsyslog.conf*) para formatar os logs em um Template JSON: + +``` +# Template para formatar o JSON + template(name="json-template" type="list") { + constant(value="{") + constant(value="\"@timestamp\":\"") property(name="timereported" dateFormat="rfc3339") + constant(value="\",\"host\":\"") property(name="hostname") + constant(value="\",\"severity\":\"") property(name="syslogseverity-text") + constant(value="\",\"facility\":\"") property(name="syslogfacility-text") + constant(value="\",\"message\":\"") property(name="msg" format="json") + constant(value="\"}") +``` + +*** + +**Assista à Videoaula explicativa sobre o assunto clicando na imagem abaixo:** + +assistavideo \ No newline at end of file