Apache Cassandra

Данное руководство описывает процесс настройки сбора и отправки событий СУБД Apache Cassandra в R-Vision SIEM.

Настройка сбора событий на стороне источника

Для настройки журналирования событий Apache Cassandra выполните следующие шаги:

Убедитесь, что на сервере, где установлена Apache Cassandra, доступно не менее 5 ГБ дискового пространства.
Подключитесь к серверу Apache Cassandra под учетной записью с правами администратора.
Перед внесением изменений создайте резервные копии следующих конфигурационных файлов:
- /etc/cassandra/cassandra.yaml или /etc/alternatives/cassandra/cassandra.yaml;
- /etc/cassandra/logback.xml или /etc/alternatives/cassandra/logback.xml.
Убедитесь, что параметры конфигурационного файла cassandra.yaml имеют следующие значения, и при необходимости измените их:
- в секции audit_logging_options: enabled = true;
- в секции logger: class_name = FileAuditLogger.

В конфигурационный файл logback.xml добавьте следующий фрагмент:

<appender name="AUDIT" class="ch.qos.logback.core.rolling.RollingFileAppender">
    <file>${cassandra.logdir}/audit/audit.log</file>
    <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
        <!-- rollover daily -->
        <fileNamePattern>${cassandra.logdir}/audit/audit.log.%d{yyyy-MM-dd}.%i.zip</fileNamePattern>
        <!-- each file should be at most 50MB, keep 30 days worth of history, but at most 5GB -->
        <maxFileSize>50MB</maxFileSize>
        <maxHistory>30</maxHistory>
        <totalSizeCap>5GB</totalSizeCap>
    </rollingPolicy>
    <encoder>
        <pattern>%-5level [%thread] %date{ISO8601} %F:%L - %msg%n</pattern>
    </encoder>
</appender>
<!-- Audit Logging additivity to redirect audt logging events to audit/audit.log -->
<logger name="org.apache.cassandra.audit" additivity="false" level="INFO">
    <appender-ref ref="AUDIT"/>
</logger>

Сохраните изменения в конфигурационном файле.
Перезапустите службу Apache Cassandra с помощью следующих команд:
```
sudo systemctl stop сassandra.service
sudo systemctl start сassandra.service
```
После перезапуска проверьте статус Apache Cassandra с помощью следующей команды:
```
sudo systemctl status сassandra.service
```
Убедитесь, что вывод команды содержит следующее сообщение:
```
Active: active (running)
```
Настройка передачи событий Apache Cassandra завершена. Передаваемые события будут сохраняться в файле /var/log/cassandra/audit/audit.log.

Настройка службы rsyslog

Создайте файл конфигурации rsyslog:
```
sudo nano /etc/rsyslog.d/01-сassandra.conf
```
Добавьте в созданный файл следующее правило:
```
module(load="imfile" PollingInterval="10")

input(type="imfile"
      File="/var/log/cassandra/audit/audit.log"
      startmsg.regex="INFO  "
      readTimeout="1"
      escapeLF="off"
      Tag="cassandra-audit")

if $syslogtag contains 'cassandra' then {
   action(type="omfwd" target="<target>" port="<port>" protocol="<protocol>")
   stop
}
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) централизованного syslog-сервера, с которого будет осуществляться отправка сообщений в SIEM.
- <port>:
  - либо порт точки входа Syslog в конвейере SIEM — любой свободный порт больше 30000;
  - либо порт сервера rsyslog — 514.
- <protocol> — tcp или udp.

Настройка syslog-сервера

Для настройки syslog-сервера выполните следующие шаги:

Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).
Добавьте следующее правило:
```
if $syslogtag contains 'cassandra' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="tcp")
  stop
}
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) централизованного syslog-сервера, с которого будет осуществляться отправка сообщений в SIEM.
- <port> — порт точки входа Syslog в конвейере SIEM — любой свободный порт больше 30000.
Перезапустите rsyslog для применения изменений:
```
sudo systemctl restart rsyslog
```

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте в конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт точки входа — в соответствии с настройками на стороне syslog-сервера;
3. Протокол — TCP.
Соедините с точкой входа Нормализатор с добавленным правилом нормализации с ID RV-N-6.
Соедините с нормализатором конечную точку типа Хранилище событий.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

Список типов событий

Список типов событий аудита Apache Cassandra доступен в официальной документации.