OpenVPN

Данное руководство описывает процесс настройки сбора событий c сервера OpenVPN и их отправки в хранилище R-Vision SIEM.

Типы собираемых событий

Warning events
Peer info events
Channel events
MULTI events
PUSH events
SENT CONTROL events
Verify events
TLS events
Connection reset events
Client-instance restarting events
Peer connection initiated events
Connection established events

Настройка источника событий

Журналирование событий сервиса OpenVPN по умолчанию ведется в директории /var/log/openvpn. Дополнительных действий по настройке журналирования не требуется.

События сервера OpenVPN могут отправляться на централизованный сервер syslog либо напрямую в систему SIEM. Далее рассмотрим оба варианта настройки.

Чтобы настроить отправку событий сервера OpenVPN, выполните следующие шаги:

Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).
Добавьте следующие правила:
```
module(load="imfile" PollingInterval="10")
input(type="imfile"
      File="/var/log/openvpn/openvpn.log"
      Tag="openvpn")
input(type="imfile"
      File="/var/log/openvpn/openvpn-status.log"
      Tag="openvpn-stat")
if $syslogtag contains 'openvpn' then {
  action(type="omfwd" target="<target>" port="<port>" protocol="udp")
  stop
}
```
Здесь:
- <target>: IP-адрес или полное доменное имя (FQDN) сервера syslog либо узла кластера Kubernetes, на котором запущен коллектор SIEM.
- <port>:
  - При отправке событий на сервер rsyslog укажите порт 514.
  - При отправке событий на конвейер SIEM укажите порт точки входа Syslog — любой свободный порт больше 30000;
Перезапустите rsyslog, чтобы изменения вступили в силу:
```
sudo systemctl restart rsyslog
```

Настройка сбора событий с источника на сервере syslog

Если события сначала отправляются на сервер syslog, настройте отправку логов с сервера в SIEM:

Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).

Добавьте следующее правило:

# Укажите адрес IP-адрес SIEM и порт, куда будут отправляться события
if $syslogtag contains 'openvpn' then {
  action(type="omfwd" target="192.0.2.12" port="30000" protocol="tcp")
  stop
}

Перезапустите rsyslog, чтобы изменения вступили в силу:
```
sudo systemctl restart rsyslog
```

Настройка интеграции с R-Vision SIEM

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте в конвейер элемент Точка входа типа Syslog со следующими параметрами:
- Название — любое понятное;
- Тип точки входа — Syslog;
- Порт точки входа и Протокол — в соответствии с настройками на стороне сервера syslog.
Добавьте Нормализатор с правилом Нормализация событий OpenVPN. Соедините нормализатор с точкой входа.
Добавьте элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера Пример конфигурации конвейера

Если настройка выполнена корректно, то в хранилище начнут поступать события OpenVPN.