1C:Предприятие Журнал регистрации: настройка источника

Данное руководство описывает процесс настройки сбора событий журнала регистрации на сервере 1С:Предприятия и их последующей отправки в R-Vision SIEM.

Действия описаны на примере конфигурации Зарплата и управление персоналом 3.1. В других конфигурациях названия и расположение элементов интерфейса могут отличаться.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь в выполнении следующих условий:

  • Сетевая связность между сервером 1С:Предприятие и SIEM обеспечена, а необходимые порты открыты.

Настройка 1C:Предприятие

Настройка подсистемы журналирования

Чтобы настроить выгрузку регистрационного журнала в папку, выполните следующие действия:

  1. Войдите в программу 1С:Предприятие. Для этого:

    1. Запустите 1С:Предприятие. Откроется окно Запуск 1С:Предприятия.

    2. Выберите в списке информационную базу и нажмите на кнопку 1С:Предприятие.

    3. В открывшемся окне введите данные учетной записи администратора и нажмите на кнопку Войти. Откроется окно 1С:Предприятия.

  2. Перейдите в раздел Администрирование → Печатные формы, отчеты и обработки.

  3. Установите флажок Дополнительные отчеты и обработки.

    1c enterprise setting1

  4. Перейдите в раздел Дополнительные отчеты и обработки.

  5. На панели инструментов раздела нажмите на кнопку Добавить из файла. Откроется окно проводника.

    1c enterprise setting2

  6. Выберите файл внешнего отчета или обработки и нажмите на кнопку Open. Откроется вкладка IDE Выгрузка журнала регистрации в формате JSON (Дополнительная обработка).

    Архив со сценарием обработки docs.rvision.ru/sources/ru/УМС 2.0/Applications/_attachments/ide_uploading_logbook_json.zip[представлен по ссылке].

    1c enterprise setting3

  7. На панели инструментов вкладки нажмите на кнопку Сохранить.

  8. На вкладке Команды выберите опцию IDE Выгрузка журнала регистрации в формате JSON (ручная) и нажмите на кнопку Выполнить. Откроется вкладка IDE Выгрузка журнала регистрации в формате JSON.

  9. Укажите настройки выгрузки:

    • Директория для хранения файлов: введите путь для сохранения файлов журнала регистрации, например, C:/1C_logs/.

    • Интервал выгрузки в минутах: укажите временной промежуток в минутах, в течение которого события, зафиксированные в журнале регистрации, будут сохраняться в отдельном файле, например, 10.

    • Интервал удаления в часах: укажите временной промежуток в часах, через который события, зафиксированные в журнале регистрации, будут автоматически удаляться, например, 1.

    • Дата выгрузки: укажите дату, с которой начнется выгрузка журнала регистрации.

      1c enterprise setting4

  10. Нажмите на кнопку Сохранить настройки и подтвердите сохранение.

  11. Закройте вкладку IDE Выгрузка журнала регистрации в формате JSON.

  12. Перейдите на вкладку IDE Выгрузка журнала регистрации в формате JSON (Дополнительная обработка).

  13. На вкладке Команды установите флажок IDE Выгрузка журнала регистрации в формате JSON. Откроется окно Schedule.

  14. Выберите вкладку Daily и в поле Repeat after введите значение 600.

  15. Нажмите на кнопку ОК.

    1c enterprise setting6

  16. На вкладке Команды установите флажок Удаление старых файлов. Откроется окно Schedule.

    1c enterprise setting5

  17. Выберите вкладку General и в поле Repeat every введите значение 1.

  18. Нажмите на кнопку ОК.

    1c enterprise setting7

  19. Нажмите на кнопку Записать и закрыть.

  20. Откройте параметры папки, куда сохраняются события, перейдите во вкладку Sharing.

    1c enterprise folder

  21. Нажмите Advanced Sharing и установите флажок Share this folder.

    1c enterprise folder share

Настройка на стороне источника завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант SMB.

    • Путь: укажите сетевой путь к папке с событиями (значение из поля Network Path).

    • Тип аутентификации: выберите вариант Auto.

    • Учетная запись: выберите учетную запись, которая имеет доступ к серверу.

    • Версия SMB: выберите вариант SMB3.

    • Маска файла: введите *.json.

  3. Добавьте на конвейер элемент Нормализатор с правилом 1C-Soft 1C:Enterprise 8.3 (идентификатор правила: RV-N-258).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

1c enterprise pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события 1С:Предприятия.

Найти события 1С:Предприятия в хранилище можно по следующему фильтру:

normalization_rule_name = "1C:Enterprise registrationlog"

1c enterprise storage

Типы обрабатываемых событий

  • Успешная или неуспешная авторизация через толстый клиент, конфигуратор или COM-соединение.

  • Успешная авторизация через толстый клиент.

  • Ошибка авторизации через тонкий клиент.

  • Ошибка авторизации через веб-клиент.

  • Успешная авторизация через веб-клиент.

  • Успешно установлено соединение с сервером 1С:Предприятия.

  • Подключение к дизайнеру заблокировано другим пользователем.

  • Просмотр списка пользователей, подключенных к серверу 1С:Предприятия.

  • Просмотр пользователем параметров информационной базы.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь