Eltex ESR

Данное руководство описывает процесс настройки сбора и отправки событий физических и виртуальных маршрутизаторов семейства Eltex ESR в R-Vision SIEM.

Настройка сбора событий на стороне источника

Настройка физического маршрутизатора

Установите и подключите устройство согласно официальной документации. Подключите его питание и интерфейс управления.
Выполните первое подключение к устройству через консольный порт и войдите в систему. Данные для входа по умолчанию: логин — admin, пароль — password.
Перейдите в раздел Конфигурация логирования.

Настройка виртуального маршрутизатора Eltex vESR

Получите файл виртуальной машины, который распространяется производителем оборудования.
Загрузите полученный файл на ваш гипервизор. Требования к виртуальной машине:
- 1 ядро CPU;
- 4 ГБ ОЗУ;
- 8 ГБ на жестком диске;
- сетевой интерфейс.
Запустите виртуальную машину. Первичная загрузка может длиться около 15 минут.
Войдите в виртуальную машину. Данные для входа по умолчанию: логин — admin, пароль — password.
Перейдите в раздел Конфигурация логирования.

Конфигурация логирования

Перейдите в меню конфигурации с помощью команды:
```
configure
```

Настройте сбор логов с необходимых журналов, выполнив для каждого из них команду:

logging <journal-name>

Здесь:

<journal-name> — имя журнала.

Список поддерживаемых журналов приведен для физического маршрутизатора Eltex ESR-200 и виртуального маршрутизатора Eltex vESR 0.18.4. Список поддерживаемых журналов для других моделей и версий смотрите в документации производителя.

Поддерживаются следующие журналы:

aaa — журнал авторизации и аутентификации;
acl — журнал работы со списками контроля доступа;
firewall — журнал параметров файрвола;
ips — журнал IP-адресов;
login — журнал параметров логина;
nat — журнал NAT;
service — журнал сервисных параметров;
syslog — журнал параметров syslog;
userinfo — журнал изменений в профиле пользователя.

Настройте отправку логов в syslog-коллектор с помощью команды:
```
syslog host <hostname>
```
Здесь:
- <hostname> — имя вашего хоста в системе Eltex.
Перейдите в меню настройки вашего хоста. Для отправки логов укажите следующие параметры конфигурации:
- remote-address — адрес syslog-коллектора. Поддерживаются IPv4 и IPv6 адреса.
- port — порт прослушивания syslog-коллектора.
- severity — начиная с какого уровня логирования, события будут передаваться в SIEM. Доступные уровни логирования:
  - emerg — критическая ситуация;
  - alert — небезопасные действия;
  - crit — проверка состояния;
  - error — ошибка;
  - warning — вывод предупреждений;
  - notice — события в рамках ожидаемого поведения;
  - info — статистика;
  - debug — отладка поступающих сообщений;
  - none — события не передаются.
- transport — протокол передачи данных: udp или tcp.
  
  Пример общей настройки параметров:
  remote-address 192.168.0.1 port 30104 severity info transport udp
Выйдите в основное меню настройки с помощью команды:
```
exit
```
Команду необходимо ввести два раза.
Примените изменения и запишите их в память устройства с помощью команд:
```
commit
confirm
```
Сохраните конфигурацию с помощью команды:
```
save
```

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте в конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт точки входа и Протокол — в соответствии с настройками на стороне Eltex ESR.
Добавьте VRL-трансформацию:
```
.dvendor = "EltexESR"
.dproduct = "ESR"
```
Соедините с VRL-трансформацией Нормализатор с добавленным правилом нормализации с ID RV-N-33.
Соедините с нормализатором конечную точку типа Хранилище событий.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера