1C:Предприятие Журнал регистрации

Данное руководство описывает процесс настройки сбора событий журнала регистрации на сервере 1С:Предприятия и их последующей отправки в R-Vision SIEM.

Действия описаны на примере конфигурации "Зарплата и управление персоналом 3.1". В других конфигурациях названия и расположение элементов интерфейса могут отличаться.

Настройка 1C:Предприятие Журнал регистрации

Настройка подсистемы журналирования

Для выгрузки журнала регистрации в информационной базе 1С:Предприятия должен быть установлен модуль 1С:Библиотека стандартных подсистем. Кроме того, если указан часовой пояс информационной базы, он должен совпадать с часовым поясом узла, на котором установлен сервер 1С:Предприятия.

Чтобы настроить выгрузку регистрационного журнала в папку:

  1. Войдите в программу 1С:Предприятие. Для этого:

    1. Запустите 1С:Предприятие. Откроется окно Запуск 1С:Предприятия.

    2. Выберите в списке информационную базу и нажмите на кнопку 1С:Предприятие.

    3. В открывшемся окне введите данные учетной записи администратора и нажмите на кнопку Войти. Откроется окно 1С:Предприятия.

  2. Перейдите в раздел Администрирование → Печатные формы, отчеты и обработки.

  3. Установите флажок Дополнительные отчеты и обработки.

    1c enterprise setting1

  4. Перейдите в раздел Дополнительные отчеты и обработки.

  5. На панели инструментов раздела нажмите на кнопку Добавить из файла. Откроется окно проводника.

    1c enterprise setting2

  6. Выберите файл внешнего отчета или обработки и нажмите на кнопку Open. Откроется вкладка IDE Выгрузка журнала регистрации в формате JSON (Дополнительная обработка).

    Архив со сценарием обработки представлен по ссылке.

    1c enterprise setting3

  7. На панели инструментов вкладки нажмите на кнопку Сохранить.

  8. На вкладке Команды выберите опцию IDE Выгрузка журнала регистрации в формате JSON (ручная) и нажмите на кнопку Выполнить. Откроется вкладка IDE Выгрузка журнала регистрации в формате JSON.

  9. Укажите настройки выгрузки:

    • Директория для хранения файлов: введите путь для сохранения файлов журнала регистрации, например, C:/1C_logs/.

    • Интервал выгрузки в минутах: укажите временной промежуток в минутах, в течение которого события, зафиксированные в журнале регистрации, будут сохраняться в отдельном файле, например, 10.

    • Интервал удаления в часах: укажите временной промежуток в часах, через который события, зафиксированные в журнале регистрации, будут автоматически удаляться, например, 1.

    • Дата выгрузки: укажите дату, с которой начнется выгрузка журнала регистрации.

    1c enterprise setting4

  10. Нажмите на кнопку Сохранить настройки и подтвердите сохранение.

  11. Закройте вкладку IDE Выгрузка журнала регистрации в формате JSON.

  12. Перейдите на вкладку IDE Выгрузка журнала регистрации в формате JSON (Дополнительная обработка).

  13. На вкладке Команды установите флажок IDE Выгрузка журнала регистрации в формате JSON. Откроется окно Schedule.

  14. Выберите вкладку Daily и в поле Repeat after введите значение 600.

  15. Нажмите на кнопку ОК.

    1c enterprise setting6

  16. На вкладке Команды установите флажок Удаление старых файлов. Откроется окно Schedule.

    1c enterprise setting5

  17. Выберите вкладку General и в поле Repeat every введите значение 1.

  18. Нажмите на кнопку ОК.

    1c enterprise setting7

  19. Нажмите на кнопку Записать и закрыть.

Логирование на стороне источника настроено.

Настройка в R-Vision Endpoint

Чтобы настроить отправку событий из R-Vision Endpoint:

  1. Добавьте в интерфейсе R-Vision Endpoint политику для сбора событий технологического журнала.

  2. В поле Путь укажите путь к логам из конфигурационного файла:

    1c enterprise rpoint

  3. Нажмите на кнопку Сохранить и применить.

События начнут поступать в SIEM согласно конфигурации R-Vision Endpoint.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Порт точки входа: введите значение в соответствии с настройками на стороне сервера.

  3. Добавьте на конвейер элемент Нормализатор с правилом 1C-Soft 1C:Enterprise 8.3 (идентификатор правила: RV-N-1).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

1c enterprise pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события 1С:Предприятия.

Найти события 1С:Предприятия в хранилище можно по следующему фильтру:

dproduct = "1C:Enterprise"

1c enterprise storage

Типы обрабатываемых событий

  • Успешная или неуспешная авторизация через толстый клиент, конфигуратор или COM-соединение.

  • Успешная авторизация через толстый клиент.

  • Ошибка авторизации через тонкий клиент.

  • Ошибка авторизации через веб-клиент.

  • Успешная авторизация через веб-клиент.

  • Успешно установлено соединение с сервером 1С:Предприятия.

  • Подключение к дизайнеру заблокировано другим пользователем.

  • Просмотр списка пользователей, подключенных к серверу 1С:Предприятия.

  • Просмотр пользователем параметров информационной базы.

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies