Nextcloud: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий Nextcloud в R-Vision SIEM.
Предварительные требования
-
Сетевая связность между сервером Nextcloud и SIEM (или промежуточным syslog-сервером) обеспечена, а необходимые порты открыты.
-
Создана учетная запись с правами администратора для изменения конфигурации Nextcloud и rsyslog.
Настройка Nextcloud
Вариант 1. Nextcloud, развернутый через Docker
Для настройки аудита Nextcloud выполните следующие шаги:
-
Отредактируйте конфигурационный файл
var/www/config/config.phpвнутри контейнера или на хосте (должен быть подключен volume):'log_type' => 'file', 'logfile' => '/var/www/html/data/nextcloud.log', 'loglevel' => 1, "log_type_audit" => "file", "syslog_tag_audit" => "", "logfile_audit" => "/var/www/html/data/nextcloud.log"
-
После изменений перезапустите контейнер:
sudo docker restart nextcloud -
Пробросьте каталог
dataили файлnextcloud.logна хост:volumes: - /opt/nextcloud/logs/nextcloud.log:/var/www/html/data/nextcloud.log
Вариант 2. Nextcloud, установленный через Snap
Для настройки аудита Nextcloud выполните следующие шаги:
-
Отредактируйте конфигурационный файл
var/snap/nextcloud/config/config.php:'log_type' => 'syslog', 'logfile' => '', 'loglevel' => 1, 'syslog_tag' => 'nextcloud', "log_type_audit" => "syslog", "syslog_tag_audit" => "nextcloud", "logfile_audit" => ""
-
Перезапустите snap-сервис:
sudo snap restart nextcloud
Вариант 3. Обычная установка
Для настройки аудита Nextcloud выполните следующие шаги:
-
Отредактируйте конфигурационный файл
var/www/config/config.php:'log_type' => 'syslog', 'logfile' => '', 'loglevel' => 1, 'syslog_tag' => 'nextcloud', "log_type_audit" => "syslog", "syslog_tag_audit" => "nextcloud", "logfile_audit" => ""
-
Перезапустите сервис, через который работает Nextcloud:
systemctl restart apache2
Настройка службы rsyslog
Чтобы настроить службу rsyslog, выполните следующие действия:
-
Создайте файл конфигурации rsyslog:
sudo nano /etc/rsyslog.d/10-siem.conf -
Добавьте в созданный файл одно из следующих правил:
Конфигурация rsyslog. Обычная установка. Snap.
if $programname == 'nextcloud' or $syslogtag == 'nextcloud' then { action( type="omfwd" target="siem" port="port" protocol="protocol" ) stop }Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog на конвейере SIEM. -
<protocol>— сетевой протокол:tcpилиudp.
Конфигурация rsyslog. Docker-установка.
input(type="imfile" File="<path/to/logs>/nextcloud.log" Tag="nextcloud" PersistStateInterval="200") if $programname == 'nextcloud' or $syslogtag == 'nextcloud' then { action( type="omfwd" target="siem" port="port" protocol="protocol" ) stop }Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog на конвейере SIEM. -
<protocol>— сетевой протокол:tcpилиudp.
-
-
Перезапустите rsyslog для применения изменений:
sudo systemctl restart rsyslog
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Добавьте на конвейер элемент Нормализатор с правилом Nextcloud (идентификатор правила: RV-N-300).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Nextcloud.
|
Найти события Nextcloud в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
