Eltex ESR
Данное руководство описывает процесс настройки сбора и отправки событий физических и виртуальных маршрутизаторов семейства Eltex ESR в R-Vision SIEM.
Настройка Eltex ESR
Настройка физического маршрутизатора
-
Установите и подключите устройство согласно официальной документации. Подключите его питание и интерфейс управления.
-
Выполните первое подключение к устройству через консольный порт и войдите в систему.
Данные для входа по умолчанию: логин —
admin, пароль —password. -
Перейдите в раздел Конфигурация логирования.
Настройка виртуального маршрутизатора Eltex vESR
-
Получите файл виртуальной машины, который распространяется производителем оборудования.
-
Загрузите полученный файл на ваш гипервизор. Требования к виртуальной машине:
-
1 ядро CPU;
-
4 ГБ ОЗУ;
-
8 ГБ на жестком диске;
-
сетевой интерфейс.
-
-
Запустите виртуальную машину. Первичная загрузка может длиться около 15 минут.
-
Войдите в виртуальную машину. Данные для входа по умолчанию: логин —
admin, пароль —password. -
Перейдите в раздел Конфигурация логирования.
Конфигурация логирования
-
Перейдите в меню конфигурации с помощью команды:
configure -
Настройте сбор логов с необходимых журналов, выполнив для каждого из них команду:
logging <journal-name>Здесь:
-
<journal-name>— имя журнала.Список поддерживаемых журналов приведен для физического маршрутизатора Eltex ESR-200 и виртуального маршрутизатора Eltex vESR 0.18.4. Список поддерживаемых журналов для других моделей и версий смотрите в документации производителя. Поддерживаются следующие журналы:
-
aaa— журнал авторизации и аутентификации. -
acl— журнал работы со списками контроля доступа. -
firewall— журнал параметров файрвола. -
ips— журнал IP-адресов. -
login— журнал параметров логина. -
nat— журнал NAT. -
service— журнал сервисных параметров. -
syslog— журнал параметров syslog. -
userinfo— журнал изменений в профиле пользователя.
-
-
Настройте отправку логов в syslog-коллектор с помощью команды:
syslog host <hostname>Здесь:
-
<hostname>— имя вашего хоста в системе Eltex.
-
-
Перейдите в меню настройки вашего хоста. Для отправки логов укажите следующие параметры конфигурации:
-
remote-address— адрес syslog-коллектора (поддерживаются IPv4 и IPv6 адреса). -
port— порт прослушивания syslog-коллектора. -
severity— уровень логирования, начиная с которого события будут передаваться в SIEM.Доступные уровни логирования:
-
emerg— критическая ситуация. -
alert— небезопасные действия. -
crit— проверка состояния. -
error— ошибка. -
warning— вывод предупреждений. -
notice— события в рамках ожидаемого поведения. -
info— статистика. -
debug— отладка поступающих сообщений. -
none— отсутствие передачи событий.
-
-
transport— протокол передачи данных:udpилиtcp.Пример общей настройки параметров:
remote-address 192.168.0.1 port 30104 severity info transport udp
-
-
Выйдите в основное меню настройки с помощью команды:
exitКоманду необходимо ввести два раза. -
Примените изменения и запишите их в память устройства с помощью команд:
commit confirm -
Сохраните конфигурацию с помощью команды:
save
Настройка в R-Vision SIEM
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Добавьте VRL-трансформацию:
.dvendor = "EltexESR" .dproduct = "ESR"
-
Добавьте на конвейер элемент Нормализатор с правилом Eltex ESR (идентификатор RV-N-33).
-
Соедините нормализатор с VRL-трансформацией.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
Если настройка передачи событий выполнена корректно, в хранилище начнут поступать события Eltex ESR.
|
Найти события Eltex ESR в хранилище можно по следующему фильтру:
|
