SIEM yapımıza uygulamaların log entegrasyonu için kaynak tarafında Samba konfigüre edeceğiz. Samba SMB/CIFS protokolünü kullanan GPL lisansı altında yayınlanan dosya ve yazıcı paylaşımı yapmak amaçlı kullanılan bir uygulamadır. Anlatımı Ubuntu Server 18.04 LTS üzerinde bulunan Nginx - Web Server loglarının SIEM entegrasyonu için yapmaktayım.
Öncelikle gereksinim duyulan paketi yüklüyoruz.
# apt install samba
UFW tarafında Samba servisine izin veriyoruz.
# ufw allow Samba
Paylaşıma açacağımız Nginx servisinin log dosyalarına gerekli yetkiyi veriyoruz.
# chmod 644 /var/log/nginx/*.log
Samba için yeni bir user oluşturuyoruz ve users grubunun içerisine dahil ediyoruz. Daha sonra oluşturulan user için smb parolası belirliyoruz.
# useradd -G users log
# smbpasswd -a log
Öntanımlı Samba konfigürasyonunu aşağıdaki şekilde değiştiriyoruz. hosts allow ve hosts deny bölümünü (Host-Based Protection) kendi yapınıza göre değiştirmeyi unutmayınız.
Konfigürasyon /etc/samba/ dizini altındaki smb.conf dosyasıdır.
[global]
workgroup = WORKGROUP
server string = Samba Server %v
netbios name = ubuntu
security = user
map to guest = bad user
dns proxy = no
invalid users = root
hosts allow = 127.0.0.1 192.168.2.0/24 192.168.3.0/24
hosts deny = 0.0.0.0/0
[nginx]
path = /var/log/nginx
read only = yes
browsable = yes
writable = no
smbd başlatıyoruz ve başlangıca ekliyoruz.
# systemctl enable --now smbd