Eltex MES

В этом руководстве описано, как настроить отправку логов с коммутаторов Eltex MES в систему R-Vision SIEM.

Настройка оборудования

Подключитесь к устройству через консольный порт.
Войдите в систему. Данные для входа по умолчанию:
- логин — admin;
- пароль — admin.
Перейдите в меню конфигурации с помощью команды:
```
configure
```
Включите типы сообщений, которые будут регистрироваться, командой logging. Доступно включение следующих типов:
- logging on — все доступные типы логирования;
- aaa logging login — события аутентификации, авторизации и учета (ААА);
- logging events link-status — изменения состояний интерфейсов;
- logging events spanning-tree port-state-change — изменения статуса интерфейсов в STP;
- logging events spanning-tree topology-change — изменения топологии в STP;
- logging events spanning-tree root-bridge-change — смена root bridge;
- logging events ddm threshold — изменения параметров SFP с DDM;
- logging cli-commands — команды, введенные в командной строке;
- file-system logging <copy | delete-rename> — события файловой системы, где:
  - copy — копирование файлов;
  - delete-rename — удаление и переименование файлов.
- management logging deny — события запрета доступа к управлению коммутатором;
- logging service cpu-rate limits <traffic> — ограничения скорости входящих кадров для определенного типа трафика, где <traffic> — один из типов http, telnet, ssh, snmp, ip, link-local, arp, switch-mode, arp inspection, stp-bpdu, other-bpdu, dhcp snooping, dhcpv6 snooping, igmp-snooping, mld-snooping, sflow, log deny-aces, vrrp.
  
  Чтобы отключить какой-либо тип логирования, используйте ключевое слово no, например:
  no logging cli-commands
Настройте параметры логирования командой logging:
- logging aggregation on — группировать сообщения;
- logging origin-id <id> — использовать указанный идентификатор хоста в сообщениях syslog, где <id> — строка, имя хоста, IPv4 или IPv6-адрес;
- logging source-interface <interface> — использовать IP-адрес указанного интерфейса в качестве источника в IP-пакетах протокола syslog;
- logging source-interface-ipv6 <interface> — использовать IPv6-адрес указанного интерфейса в качестве источника в IP-пакетах протокола syslog;
  
  Чтобы посмотреть данные логирования, запустите в основном интерфейсе Eltex MES следующую команду:
  show logging
  Пример результатов команды show logging
Включите отправку логов на удаленный сервер syslog с помощью команды logging host:
```
logging host <target> port <port> transport <protocol> severity
<level> facility <facility>
```
Здесь:
- <target> — IP-адрес или сетевое имя сервера;
- <port> — номер порта для передачи сообщений по протоколу syslog;
- <protocol> — udp или tcp.
- <level> — уровень важности, начиная с которого сообщения будут передаваться на сервер syslog. Существуют следующие уровни, в порядке возрастания важности:
  - debugging — отладочные.
  - informational — информационные;
  - notifications — уведомления;
  - warnings — предупреждения;
  - errors — ошибки;
  - critical — критические ошибки;
  - alerts — сигналы тревоги;
  - emergencies — чрезвычайные сообщения;
- <facility> — категория сообщений вида localN, где N — цифра от 0 до 7.
  Пример использования команды
  logging host 203.0.113.30 port 30150 facility local7 severity informational
  
  При использовании данной команды все сообщения, кроме отладочных, будут направляться по протоколу UDP на порт 30150.
  Чтобы отменить логирование на указанный адрес, используйте ключевое слово no, например:
  no logging host 203.0.113.30
  Чтобы просмотреть текущую логирования, запустите в основном интерфейсе Eltex MES следующую команду:
  show syslog-servers
  Результат выполнения команды:

MSR#show syslog-servers
Source IPv4 interface:
Source IPv6 interface:

Device Configuration
-----------------------------

IP address        Port     Facility   Severity       Description
----------------  ------   ---------- ------------   ----------------------
203.0.113.30      30150    local7     info

Сохранить конфигурацию с помощью команды:

write

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт точки входа и Протокол — в соответствии с настройками на стороне Eltex MES.
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.dproduct = "EltexMES"
```
Соедините VRL-трансформацию с точкой входа.
Добавьте на конвейер Нормализатор с правилом Нормализация событий источника Eltex MSR (идентификатор RV-N-34). Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент для отправки событий:
- Чтобы сохранять нормализованные события в хранилище, добавьте элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
- Чтобы отправлять событий на другой конвейер для дальнейшей обработки, добавьте в коллектор шину, затем добавьте на конвейер соединение с этой шиной в режиме Получение.
  
  На другом конвейере добавьте соединение с этой шиной в режиме Отправка.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

EltexMESPipelineScheme

После установки конфигурации вы должны входящие события Eltex MES будут поступать на конвейер.