1C:Предприятие Технологический журнал: настройка источника

Данное руководство описывает процесс настройки сбора событий технологического журнала на сервере 1С:Предприятия и их отправки в хранилище R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь в выполнении следующих условий:

Сетевая связность между сервером 1С:Предприятие и SIEM обеспечена, а необходимые порты открыты.

Настройка 1C:Предприятие Технологический журнал

Настройка подсистемы журналирования

Чтобы настроить логирование событий технологического журнала на сервере 1С:Предприятия, выполните следующие шаги:

Создайте конфигурационный файл logcfg.xml. Расположение файла зависит от ОС и архитектуры сервера:
- В Windows создайте файл в папке \bin\conf внутри папки, где установлено 1С:Предприятие.
- В ОС семейства Unix с 32-битной архитектурой создайте файл в каталоге /opt/1C/v8.3/i386/conf.
- В ОС семейства Unix с 64-битной архитектурой создайте файл в каталоге /opt/1C/v8.3/x86_64/conf.

Добавьте в файл следующие строки:

<?xml version="1.0" encoding="UTF-8"?>
<config xmlns="http://v8.1c.ru/v8/tech-log">

</config>

Укажите внутри элемента config каталог для хранения файлов журнала и время хранения событий:
```
<log location="<path>" history="<time>">

  <property name="all"/>
</log>
```
Здесь:
- <path> — путь для хранения файлов журнала. Для Windows укажите общую папку, для ОС семейства Unix — домашний каталог пользователя, от имени которого запускается сервер 1С:Предприятия.
- <time> — время хранения событий в часах. Например, для хранения событий за 7 суток укажите значение 168.

Добавьте внутри элемента log фильтры событий:

  <event>
    <eq property="name" value="CALL"/>
    <eq property="MName" value="authenticateServer"/>
  </event>
  <event>
    <eq property="name" value="SCALL"/>
    <eq property="MName" value="setSessionData"/>
    <eq property="t:applicationName" value="1CV8C"/>
  </event>
  <event>
    <eq property="name" value="EXCP"/>
    <eq property="t:applicationName" value="1CV8C"/>
    <like property="Descr" value="%VResourceInfoBaseServerImpl.cpp%"/>
  </event>
  <event>
    <eq property="name" value="EXP"/>
    <eq property="t:applicationName" value="WebServerExtension"/>
    <like property="Descr" value="%VResourceInfoBaseServerImpl.cpp%"/>
  </event>
  <event>
    <eq property="name" value="SCALL"/>
    <eq property="t:applicationName" value="WebServerExtension"/>
    <eq property="MName" value="setSessionData"/>
    <ne property="Usr" value="DefUser"/>
  </event>
  <event>
    <eq property="name" value="CONN"/>
    <like property="Txt" value="Accepted%"/>
  </event>
  <event>
    <eq property="name" value="CALL"/>
    <eq property="MName" value="lockConfig"/>
  </event>
  <event>
    <eq property="name" value="CALL"/>
    <eq property="MName" value="activeUsers"/>
  </event>
  <event>
    <eq property="name" value="CALL"/>
    <eq property="MName" value="readInfoBaseAdmParams"/>
    <ne property="Usr" value=""/>
  </event>

Сохраните конфигурационный файл.

Логирование событий технологического журнала настроено.

Пример конфигурационного файла для ОС Windows

<?xml version="1.0" encoding="UTF-8"?>
<config xmlns="http://v8.1c.ru/v8/tech-log">
 <log location="C:\v8\logs" history="168">
  <event>
    <eq property="name" value="CALL"/>
    <eq property="MName" value="authenticateServer"/>
  </event>
  <event>
    <eq property="name" value="SCALL"/>
    <eq property="MName" value="setSessionData"/>
    <eq property="t:applicationName" value="1CV8C"/>
  </event>
  <event>
    <eq property="name" value="EXCP"/>
    <eq property="t:applicationName" value="1CV8C"/>
    <like property="Descr" value="%VResourceInfoBaseServerImpl.cpp%"/>
  </event>
  <event>
    <eq property="name" value="EXP"/>
    <eq property="t:applicationName" value="WebServerExtension"/>
    <like property="Descr" value="%VResourceInfoBaseServerImpl.cpp%"/>
  </event>
  <event>
    <eq property="name" value="SCALL"/>
    <eq property="t:applicationName" value="WebServerExtension"/>
    <eq property="MName" value="setSessionData"/>
    <ne property="Usr" value="DefUser"/>
  </event>
  <event>
    <eq property="name" value="CONN"/>
    <like property="Txt" value="Accepted%"/>
  </event>
  <event>
    <eq property="name" value="CALL"/>
    <eq property="MName" value="lockConfig"/>
  </event>
  <event>
    <eq property="name" value="CALL"/>
    <eq property="MName" value="activeUsers"/>
  </event>
  <event>
    <eq property="name" value="CALL"/>
    <eq property="MName" value="readInfoBaseAdmParams"/>
    <ne property="Usr" value=""/>
  </event>
  <property name="all"/>
  </log>
</config>

Этот файл создает технологический журнал в папке C:\v8\logs с хранением событий в течение 7 суток.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант SMB.
- Путь: укажите путь к папке с событиями, он указан в конфигурационном файле logcfg.xml.
- Тип аутентификации: выберите вариант Auto.
- Учетная запись: выберите учетную запись, которая имеет доступ к серверу.
- Версия SMB: выберите вариант SMB3.
- Маска файла: введите *.log.
Добавьте на конвейер Нормализатор с правилом 1C-Soft 1C:Enterprise 8.3 (идентификатор правила: RV-N-289).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

1c enterprise pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события 1С:Предприятия.

Найти события 1С:Предприятия в хранилище можно по следующему фильтру:

normalization_rule_name = "1C:Enterprise techlog"

1c enterprise storage

Была ли полезна эта страница?

Обратная связь