Dallas Lock ЕЦУ сбор из СУБД PostgreSQL
Данное руководство описывает процесс настройки сбора и отправки событий Dallas Lock 8.0 Сервер безопасности в R-Vision SIEM.
Предварительные требования
-
Dallas Lock ЕЦУ хранит журналы на внешней СУБД.
-
Сетевой доступ к БД Dallas Lock ЕЦУ.
-
Учетная запись в СУБД с правами на чтение таблиц базы данных (сбор из БД).
Настройки СУБД PostgreSQL
Для настройки сбора логов из базы данных необходимо к ней подключиться. Чтобы подключиться к БД, используйте специально созданную сервисную учетную запись (далее — УЗ).
Создание учетной записи в СУБД PostgreSQL
Чтобы создать сервисную УЗ, подключитесь к СУБД с правами администратора. Для этого выполните следующие действия на сервере с установленной СУБД:
-
Выполните следующую команду из-под пользователя postgres:
sudo -u postgres psql
-
Создайте сервисную учетную запись, выполнив следующие команды:
CREATE USER "dl_reader"; ALTER ROLE dl_reader WITH PASSWORD 'passw0rd';
-
Выдайте права на подключение к базе и чтение таблицы:
GRANT CONNECT ON DATABASE dallaslock to dl_reader; GRANT SELECT ON ALL TABLES IN SCHEMA public TO dl_reader;
Настройка в R-Vision SIEM
Для интеграции источника с R-Vision SIEM выполните следующие действия:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа: Database.
-
SQL-запрос:
SELECT record_id as record_id ,timestamp as timestamp ,timestamp_timezone as timezone ,user as user ,event_id as event_id ,obj_name as obj ,status as status ,comment as comment ,guid as guid ,(SELECT vers_t.value FROM public.ucc_metainfo vers_t WHERE vers_t.key = 'version') as version ,'DL_PSQL' as filter ,inet_server_addr() AS dvc FROM public.jrn_uccmainjournal WHERE record_id > CAST(? AS BIGINT) ORDER BY record_id ASC;
-
База данных: PostgreSQL.
-
Интервал запроса: 300 секунд.
-
Поле идентификатора:
-
Ключ: record_id.
-
Значение: 1.
-
-
Строка подключения в секрете:
jdbc:postgresql://DBSERVER:5432/DBNAME?user=dl_reader&password=passw0rd
Здесь:
-
DBSERVER
— FQDN или IP-адрес сервера СУБД. -
5432
— порт подключения
Создание секрета описано в разделе Настройка секрета database в R-Vision SIEM. -
-
-
Добавьте на конвейер элемент Нормализатор с правилом "RV-N-133". Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
Если настройка выполнена корректно, в хранилище начнут поступать события из PostgreSQL.
Найти события из PostgreSQL в хранилище можно по следующему фильтру:
|
Настройка секрета database в R-Vision SIEM
Чтобы создать секрет подключения к СУБД:
-
В интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Секреты.
-
Нажмите на кнопку Создать.
-
В открывшемся окне заполните поля:
-
Название — введите название секрета.
-
Описание (опционально) — введите назначение секрета.
-
Тип секрета — выберите вариант Строка подключения.
-
Строка подключения — укажите данные для подключения к СУБД.
-
-
Нажмите на кнопку Создать.
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.