1C:Предприятие Технологический журнал
Данное руководство описывает процесс настройки сбора событий технологического журнала на сервере 1С:Предприятия и их отправки в хранилище R-Vision SIEM.
Настройка 1C:Предприятие Технологический журнал
Настройка подсистемы журналирования
Чтобы настроить логирование событий технологического журнала на сервере 1С:Предприятия, выполните следующие шаги:
-
Создайте конфигурационный файл logcfg.xml. Расположение файла зависит от ОС и архитектуры сервера:
-
В Windows создайте файл в папке
\bin\confвнутри папки, где установлено 1С:Предприятие. -
В ОС семейства Unix с 32-битной архитектурой создайте файл в каталоге
/opt/1C/v8.3/i386/conf. -
В ОС семейства Unix с 64-битной архитектурой создайте файл в каталоге
/opt/1C/v8.3/x86_64/conf.
-
-
Добавьте в файл следующие строки:
<?xml version="1.0" encoding="UTF-8"?> <config xmlns="http://v8.1c.ru/v8/tech-log"> </config> -
Укажите внутри элемента
configкаталог для хранения файлов журнала и время хранения событий:<log location="<path>" history="<time>"> <property name="all"/> </log>Здесь:
-
<path>— путь для хранения файлов журнала. Для Windows укажите общую папку, для ОС семейства Unix — домашний каталог пользователя, от имени которого запускается сервер 1С:Предприятия. -
<time>— время хранения событий в часах. Например, для хранения событий за 7 суток укажите значение168.
-
-
Добавьте внутри элемента
logфильтры событий:<event> <eq property="name" value="CALL"/> <eq property="MName" value="authenticateServer"/> </event> <event> <eq property="name" value="SCALL"/> <eq property="MName" value="setSessionData"/> <eq property="t:applicationName" value="1CV8C"/> </event> <event> <eq property="name" value="EXCP"/> <eq property="t:applicationName" value="1CV8C"/> <like property="Descr" value="%VResourceInfoBaseServerImpl.cpp%"/> </event> <event> <eq property="name" value="EXP"/> <eq property="t:applicationName" value="WebServerExtension"/> <like property="Descr" value="%VResourceInfoBaseServerImpl.cpp%"/> </event> <event> <eq property="name" value="SCALL"/> <eq property="t:applicationName" value="WebServerExtension"/> <eq property="MName" value="setSessionData"/> <ne property="Usr" value="DefUser"/> </event> <event> <eq property="name" value="CONN"/> <like property="Txt" value="Accepted%"/> </event> <event> <eq property="name" value="CALL"/> <eq property="MName" value="lockConfig"/> </event> <event> <eq property="name" value="CALL"/> <eq property="MName" value="activeUsers"/> </event> <event> <eq property="name" value="CALL"/> <eq property="MName" value="readInfoBaseAdmParams"/> <ne property="Usr" value=""/> </event> -
Сохраните конфигурационный файл.
Логирование событий технологического журнала настроено.
Пример конфигурационного файла для ОС Windows
<?xml version="1.0" encoding="UTF-8"?>
<config xmlns="http://v8.1c.ru/v8/tech-log">
<log location="C:\v8\logs" history="168">
<event>
<eq property="name" value="CALL"/>
<eq property="MName" value="authenticateServer"/>
</event>
<event>
<eq property="name" value="SCALL"/>
<eq property="MName" value="setSessionData"/>
<eq property="t:applicationName" value="1CV8C"/>
</event>
<event>
<eq property="name" value="EXCP"/>
<eq property="t:applicationName" value="1CV8C"/>
<like property="Descr" value="%VResourceInfoBaseServerImpl.cpp%"/>
</event>
<event>
<eq property="name" value="EXP"/>
<eq property="t:applicationName" value="WebServerExtension"/>
<like property="Descr" value="%VResourceInfoBaseServerImpl.cpp%"/>
</event>
<event>
<eq property="name" value="SCALL"/>
<eq property="t:applicationName" value="WebServerExtension"/>
<eq property="MName" value="setSessionData"/>
<ne property="Usr" value="DefUser"/>
</event>
<event>
<eq property="name" value="CONN"/>
<like property="Txt" value="Accepted%"/>
</event>
<event>
<eq property="name" value="CALL"/>
<eq property="MName" value="lockConfig"/>
</event>
<event>
<eq property="name" value="CALL"/>
<eq property="MName" value="activeUsers"/>
</event>
<event>
<eq property="name" value="CALL"/>
<eq property="MName" value="readInfoBaseAdmParams"/>
<ne property="Usr" value=""/>
</event>
<property name="all"/>
</log>
</config>Этот файл создает технологический журнал в папке C:\v8\logs с хранением событий в течение 7 суток.
Настройка в R-Vision Endpoint
Чтобы настроить отправку событий из R-Vision Endpoint:
-
Добавьте в интерфейсе R-Vision Endpoint политику для сбора событий технологического журнала.
-
В поле Путь укажите путь к логам из конфигурационного файла.
-
Нажмите на кнопку Сохранить и применить.
События начнут поступать в SIEM согласно конфигурации R-Vision Endpoint.
Настройка в R-Vision SIEM
| Если у вас уже настроен конвейер для сбора событий журнала регистрации, выполните только пункты 3 и 7 данной инструкции. |
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант R-Vision Endpoint.
-
Порт точки входа: введите значение в соответствии с настройками на стороне сервера.
-
-
Добавьте на конвейер Нормализатор с правилом 1C-Soft 1C:Enterprise 8.3 (идентификатор правила: RV-N-2).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события 1С:Предприятия.
|
Найти события 1С:Предприятия в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
