Squid
Данное руководство описывает процесс настройки сбора и отправки событий Squid в R-Vision SIEM.
Настройка Squid
Описание подсистемы журналирования
По умолчанию журнал событий сервиса Squid хранится в каталоге /var/log/squid. В нём имеются следующие файлы с событиями:
-
access.log — содержит обращения сетевых хостов к ресурсам.
-
cache.log — содержит сообщения об ошибках и другую информацию, необходимую для отладки.
Настройка подсистемы журналирования Squid
Чтобы выполнить настройку подсистемы журналирования Squid, настройте корректный формат сообщений на сервере Squid. Для этого:
-
Добавьте в конец файла /etc/squid/squid.conf следующие строки:
logformat custom %>a - %un [%tl] "%rm %ru %Sh/%<A %mt %Ss" %03>Hs %<st access_log daemon:/var/log/squid/access.log custom -
Перезагрузите Squid для применения настроек:
systemctl restart squid
Настройка отправки событий Squid
Чтобы настроить отправку событий Squid, настройте передачу событий из файла, для этого:
-
Создайте файл /etc/rsyslog.d/10-squid.conf со следующим содержимым:
module(load="imfile" mode="inotify") input( type="imfile" File="access" Tag="Squid" Severity="info" Facility="local4" ) if $syslogtag == 'Squid' then { action(type="omfwd" Target="" Port="" Protocol="") stop }Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog в конвейере SIEM. -
<protocol>— сетевой протокол:tcpилиudp.
-
-
Перезапустите службу rsyslog.service с помощью команды:
systemctl restart rsyslog.service
Настройка интеграции с R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В веб-интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Коллекторы и создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа: Syslog.
-
Порт точки входа и протокол: в соответствии с настройками на стороне Squid.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Squid (идентификатор правила: RV-N-117). Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Squid.
|
Найти события Squid в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
