Kubernetes

Эта инструкция описывает настройку сбора событий c узла Kubernetes и их отправки в систему R-Vision SIEM.

Настройка системы на узле Kubernetes

Приведенные консольные команды относятся к РЕД ОС. Если вы используете другой дистрибутив Linux, рекомендуется обратиться к официальной документации вашего дистрибутива.

Чтобы настроить сбора логов, выполните следующие шаги:

  1. Установите на каждом узле Kubernetes сервис Vector командой:

    sudo dnf install vector

  2. Измените команду запуска в файле /usr/lib/systemd/system/vector.service на следующую:

    [Unit]
Description=Vector
Documentation=https://vector.dev
After=network-online.target
Requires=network-online.target

[Service]
User=vector
Group=vector
ExecStartPre=/usr/bin/vector validate
ExecStart=/usr/bin/vector -c /etc/vector/vector.toml
ExecReload=/usr/bin/vector validate
ExecReload=/bin/kill -HUP $MAINPID
Restart=always
AmbientCapabilities=CAP_NET_BIND_SERVICE
EnvironmentFile=-/etc/default/vector
#Since systemd 229, should be in Unit but in order to support systemd <229,
#it is also supported to have it here.
StartLimitInterval=10
StartLimitBurst=5

[Install]
WantedBy=multi-user.target

  3. Перезагрузите конфигурацию командой:

    sudo systemctl daemon-reload

  4. Создайте файл /etc/vector/vector.toml. Добавьте в файл конфигурацию следующую вида:

    #Источник
[sources.kubernetes_logs]
  type = "kubernetes_logs"
  self_node_name = "<node_name>"

#Цель для отправки логов
[sinks.vector_siem]
  type = "vector"
  inputs = ["kubernetes_logs"]
  address = "<address>:<port>"

    Здесь:

    • <node_name> — имя узла Kubernetes;

    • <address> — IP-адрес сервера SIEM;

    • <port> — порт, на который будут отправляться события.

  5. Включите новый сервис командой:

    sudo systemctl enable vector --now

  6. Проверьте отсутствие ошибок в сервисе Vector командой:

    sudo systemctl status vector.service

  7. Проверьте правильность конфигурации следующей командой:

    vector validate

    В случае успешного выполнения система выведет сообщение следующего вида:

    √ Loaded ["/etc/vector/vector.toml"]
√ Component configuration
√ Health check "<vector_siem>"
----------------------------------
                         Validated

Настройка интеграции с R-Vision SIEM

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте в конвейер элемент Точка входа типа Vector со следующим параметром:

    • Порт точки входа — порт, указанный ранее в конфигурации Vector

  3. Добавьте элемент Конечная точка типа Хранилище событий. Соедините конечную точку с точкой входа.

    Если необходимо отправить события на другой конвейер для дальнейшей обработки, добавьте шину, настроенную на получение, и соедините ее с точкой входа.

  4. Сохраните и установите конфигурацию конвейера.

    Пример конфигурации конвейера

    KubernetesPipelineScheme

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение