Системные журналы Linux

Данное руководство описывает процесс отправки событий из журналов ОС семейства Linux в R-Vision SIEM с помощью продукта R-Vision Endpoint.

Здесь и далее под ОС Linux подразумевается любой современный дистрибутив операционной системы на базе ядра Linux.

Настройка ОС Linux

Настройка сбора событий с ОС Linux с помощью продукта R-Vision Endpoint включает установку агента R-Vision Endpoint на конечное устройство и конфигурирование политики.

Установка агента

Для установки агента обратитесь к документации продукта R-Vision Endpoint.

После установки агента на станцию и настройки его связи с менеджером R-Vision Endpoint, в веб-интерфейсе управления менеджера R-Vision Endpoint появится информация о подключенной станции.

По умолчанию добавленный хост входит в группу default.

rpoint newly added host

Настройка политики

Для сбора событий с узлов ОС Linux необходимо создать новую группу и добавить в нее узел под управлением ОС Linux.

Создание новой группы

Для создания новой группы:

  1. В главном меню перейдите в раздел Политика.

  2. Нажмите Создать группу и введите название группы.

  3. Из выпадающего списка Группа сбора данных выберите созданную группу.

  4. Переведите следующие переключатели в активное положение:

    • Вход/выход пользователей;

    • Создание процессов;

    • Добавление или изменение сервисов;

    • Управление пользователями.

    rpoint group settings1

  5. Если требуется подключение журналов ОС, выполните следующие действия:

    1. В разделе Чтение файлов/выполнение команд нажмите Настроить.

    2. Выберите тип журнала syslog для любых журналов, которые пишет служба syslog на хосте.

    3. Выберите тип журнала auditd, если формат записей в журнале соответствует формату журнала audit.log службы Auditd.

    rpoint group settings2

Добавление узла в группу

Для добавления узла под управлением ОС Linux в созданную группу:

  1. В главном меню перейдите в раздел Агенты.

  2. Выберите нужный узел и нажмите на кнопку agent to group на панели инструментов.

  3. Выберите ранее созданную группу и нажмите Добавить.

  4. Дождитесь применения политики на агенте.

rpoint add host to group

Настройка интеграции с R-Vision SIEM

В R-Vision SIEM уже должен быть настроен конвейер с точкой входа типа R-Vision Endpoint.

Для настройки интеграции продуктов R-Vision SIEM и R-Vision Endpoint обратитесь к документации продукта R-Vision SIEM.

Для настройки обработки событий ОС Linux в R-Vision SIEM:

  1. В интерфейсе R-Vision SIEM откройте конвейер с настроенной точкой входа типа R-Vision Endpoint.

  2. В элементе Нормализатор, отвечающем за обработку событий от R-Vision Endpoint, добавьте правило нормализации "Linux Rpoint" (идентификатор правила: RV-N-57).

  3. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

rpoint linux

После настройки политики сбора и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста под управлением ОС Linux.

Найти события хоста под управлением ОС Linux в хранилище можно по следующему фильтру:

dvendor = "Linux"

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение