Pangolin SE

Данное руководство описывает процесс настройки пересылки логов аудита с сервера Pangolin SE в R-Vision SIEM с использованием службы rsyslog.

Подготовка сервера Pangolin SE

Для настройки пересылки логов аудита через syslog выполните шаги, перечисленные ниже.

Настройка конфигурации PostgreSQL

Откройте конфигурационный файл /pgdata/<product-version>/data/postgresql.conf.

Здесь:
- <product-version> — версия установленного экземпляра Pangolin SE.

Отредактируйте значения параметров конфигурации следующим образом:

listen_addresses = '*'
log_destination = 'syslog'
logging_collector = on
log_min_messages = debug5
log_min_error_statement = debug5
log_checkpoints = on
log_connections = on
log_disconnections = on
log_error_verbosity = verbose
# Для префикса log_line_prefix написано регулярное выражение в правиле нормализации SIEM
log_line_prefix = '%m [%p] %u %r '

Перезапустите экземпляр Pangolin SE:
```
pg_ctl -D /pgdata/<product-version>/data/ -l /pgerrorlogs/<product-version>/postgresql.log restart
```
Здесь:
- <product-version> — версия установленного экземпляра Pangolin SE.

Настройка службы rsyslog

Откройте конфигурационный файл /etc/rsyslog.d/10-pangolin.conf.
Добавьте следующее правило:
```
if $programname == 'postgres' or $syslogtag == 'postgres' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
}
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) централизованного syslog-сервера, с которого будет осуществляться отправка сообщений в SIEM.
- <port>:
  - либо порт точки входа Syslog в конвейере SIEM — любой свободный порт больше 30000;
  - либо порт сервера rsyslog — 514.
- <protocol> — tcp или udp.
Перезапустите службу rsyslog:
```
sudo systemctl restart rsyslog
```

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте в конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт и Протокол — значения должны совпадать с настройками на стороне Pangolin SE.
Соедините с точкой входа Нормализатор с добавленным правилом нормализации для SberTech Pangolin SE с ID RV-N-107.
Соедините с нормализатором шину. Настройте данный элемент на получение данных.
Соедините с нормализатором конечную точку типа Хранилище событий.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

Если настройка выполнена корректно, в хранилище начнут поступать события Pangolin SE.

Список типов событий

Connection
Disconnection
REQUEST
TRANSACTIONS
TABLE
INDEX
TABLE_DATA_MANIPULATION
PG_DUMP
PG_RESTORE
REPLICATION
AUDIT
START_STOP_SERVER

Таблица маппинга

Параметр Значение

Параметр	Значение
`dvendor`	`SberTech`
`dproduct`	`Platform V Pangolin SE`
`dversion`	`6+`
`name`
`cat`	`parsed.NAME`
`sourceSessionId`	`parsed.ID`
`dvchost`	`.raw.hostname`
`severity`	`get(severityMap, [.raw.severity])`
`msg`	`parsed.MSG \|\| .raw.message`
`rt`	`parse_timestamp(parsed.DATE,"%Y-%m-%d %X%.f")`
`outcome`	`Success/Failure`
`suser`	`parsed.SUSER`
`shost`	`parsed.SHOST`
`spt`	`to_int(parsed.SPORT)`
`request`	`parsed.MSG`
`objPath`
`objName`
`duser`
`accessList`	`accessList = parsed2.privileges`

dvendor

SberTech

dproduct

Platform V Pangolin SE

dversion

6+

name

cat

parsed.NAME

sourceSessionId

parsed.ID

dvchost

.raw.hostname

severity

get(severityMap, [.raw.severity])

msg

parsed.MSG || .raw.message

rt

parse_timestamp(parsed.DATE,"%Y-%m-%d %X%.f")

outcome

Success/Failure

suser

parsed.SUSER

shost

parsed.SHOST

spt

to_int(parsed.SPORT)

request

parsed.MSG

objPath

objName

duser

accessList

accessList = parsed2.privileges