Solar Dozor

Данное руководство содержит инструкции по настройке подключения Solar Dozor к системе R-Vision SIEM.

Настройка syslog-ng

Проверьте, что в системе установлен инструмент syslog-ng. При необходимости установите его с помощью команды:
```
apt install syslog-ng
```
У учетной записи должны быть привилегии для установки сторонних пакетов.

Создайте конфигурацию источника, как описано в документации Dozor. Разместите ее в файле /etc/syslog-ng/conf.d/dozor.conf. Если настройка выполнена корректно, то записанные события будут собираться в директории /var/log/dozor:

Пример 1. Пример конфигурации

@define allow-config-dups 1
# Адрес и порт сервера syslog:
@define REMOTE_SERVER "c7-syslog.example.com"
@define REMOTE_PORT 10514
filter f_dozor_unit {match("dozor" value (".journald._SYSTEMD_UNIT"));};
filter f_syslog3 { not facility(auth, authpriv, mail) and not filter(f_debug) and not filter(f_dozor_unit);
};
destination d_tcp_q {
    syslog("`REMOTE_SERVER`" transport("tcp") port(`REMOTE_PORT`)
    disk-buffer(
        reliable(yes)
        dir("/var/lib/syslog-ng")
        disk-buf-size(524288000)
        mem-buf-size(134217728)
        qout-size(10000)
        )
    );
};
destination d_dozor {
    file("/var/log/dozor/${PROGRAM}.log"
    create-dirs(yes) dir-group("dozor") dir-owner("dozor") dir-perm(0755)
    group("dozor") owner("dozor") perm(0640)
    );
};
log {
    source(s_src); filter(f_dozor_unit); destination(d_dozor);
};
log {
    source(s_src);
    filter(f_dozor_unit);
    destination(d_tcp_q);
    flags(final,flow-control);
};

Найдите все необходимые файлы логов в директории /var/log/dozor следующей командой:
```
find /var/log/dozor -type f -printf 'file("%p" flags(no-parse));\n
```
Дополните dozor.conf следующим содержимым:
```
    source sys_input {
        file("/var/log/dozor/software-center-database.log" flags(no-parse));
        <files>
};

destination d_siem {
    network("<target>" port(<port>) transport(<protocol>));
};

log {
        source(sys_input);
        destination(d_siem);
};
```
Здесь:
- <files> — источники file() с указанием путей к файлам, полученным на предыдущем шаге;
- <target> — IP-адрес или полное доменное имя кластера Kubernetes, где будет запущен конвейер для обработки событий;
- <port> — порт, на который принимаются события;
- <protocol> — какой протокол использовать (tcp или udp).
Перезагрузите службу syslog-ng командой:
```
systemctl restart syslog-ng
```
Проверьте, что события отправляются командой:
```
tail -f /var/log/syslog
```

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт точки входа и Протокол — в соответствии с настройками на стороне сервера syslog;
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.dvendor = "Solar"
.dproduct = "Dozor"
```
Соедините VRL-трансформацию с точкой входа.
Добавьте на конвейер Нормализатор с правилом Solar Dozor (идентификатор RV-N-113). Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
Для отправки событий в коррелятор добавьте шину, настроенную на получение, и соедините ее с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера