VMware Horizon

Данное руководство описывает процесс настройки сбора и отправки событий платформы виртуализации рабочих мест VMWare Horizon в R-Vision SIEM.

Настройка сбора событий на стороне источника

Чтобы настроить подсистему журналирования событий в VMware Horizon, выполните следующие шаги:

Для того чтобы настроить отправку событий в SIEM через веб-интерфейс VMware Horizon, выполните следующие шаги:

Перейдите в раздел Event Configuration.
На вкладке Syslog нажмите на кнопку Add.
В открывшемся окне укажите адрес и порт syslog-сервера:
1. В поле Server Address введите IP-адрес централизованного syslog-сервера, с которого будет осуществляться отправка сообщений в SIEM.
2. В поле UDP Port введите 514.
Нажмите на кнопку OK. Отправка событий в SIEM на стороне источника настроена.

Для настройки syslog-сервера выполните следующие шаги:

Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).
Добавьте правило обработки CEF-сообщений:
```
if $hostname == 'vmware.horizon.com' then {
  action(type="omfwd" Target="siem.com" Port="<port>" Protocol="tcp")
  stop
}
```
Здесь:
- <port> — порт точки входа Syslog в конвейере SIEM — любой свободный порт больше 30000.
Перезапустите rsyslog для применения изменений:
```
sudo systemctl restart rsyslog
```

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте в конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog.
2. Порт точки входа — в соответствии с настройками на стороне syslog-сервера.
3. Протокол — TCP.
Добавьте VRL-трансформацию:
```
.dproduct="Horizon"
```
Соедините с VRL-трансформацией Нормализатор с добавленным правилом для VMware Horizon.
Соедините с нормализатором конечную точку типа Хранилище событий.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

Описание событий доступно на GitHub.