Oracle MySQL: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий Oracle MySQL в R-Vision SIEM.
Предварительные требования
-
Сетевая связность между сервером СУБД (Oracle MySQL) и SIEM (или промежуточным syslog-сервером) обеспечена, а необходимые порты открыты.
-
Настроена учетная запись с правами администратора для установки плагина аудита и изменения конфигурации rsyslog.
Настройка MySQL
Установка плагина для ведения журнала аудита
Для настройки аудита MySQL установите плагин для ведения журнала аудита, разработанный компанией Percona. Он поддерживает полный аудит в различных форматах, таких как XML, JSON и CSV, а также регистрирует события, связанные с аутентификацией.
| Плагин поддерживается в MySQL версии 8.0 и выше. |
Чтобы установить плагин аудита Percona, выполните следующие действия:
-
Скачайте архив с плагином, выполнив следующую команду:
wget https://downloads.percona.com/downloads/Percona-Server-8.0/Percona-Server-8.0.36-28/binary/tarball/Percona-Server-8.0.36-28-Linux.x86_64.glibc2.35.tar.gz -
Распакуйте архив с плагином:
tar -xvf Percona-Server-8.0.36-28-Linux.x86_64.glibc2.35.tar.gz --wildcards --no-anchored '*audit_log.so*' -
Получите путь к директории, в которой располагаются плагины MySQL. Для этого:
-
Войдите в консоль MySQL:
mysql -u root -p -h localhost -
Выполните следующий запрос:
SHOW GLOBAL VARIABLES LIKE 'plugin_dir';Пример вывода запроса пути к директории плагинов
+---------------+--------------------------+ | Variable_name | Value | +---------------+--------------------------+ | plugin_dir | /usr/lib64/mysql/plugin/ | +---------------+--------------------------+ 1 row in set (0.00 sec)Здесь
/usr/lib64/mysql/plugin/— директория плагинов.
-
-
Скопируйте плагин в директорию плагинов:
cp Percona-Server-8.0.36-28-Linux.x86_64.glibc2.35/lib/plugin/audit_log.so <plugin-dir>Здесь
<plugin-dir>— директория плагинов, полученная на шаге 3. -
Установите плагин. Для этого:
-
Войдите в консоль MySQL:
mysql -u root -p -h localhost -
Выполните следующий запрос:
INSTALL PLUGIN audit_log SONAME 'audit_log.so';Если плагин установлен успешно, отобразится сообщение:
Query OK, 0 rows affected (0.02 sec)
-
-
Добавьте настройки плагина в раздел
_[mysqld]_в файлеmy.cnf:[mysqld] audit_log_format = JSON audit_log_policy = ALL audit_log_handler = SYSLOG
-
Перезапустите сервер MySQL:
systemctl restart mysqld
Настройка службы rsyslog
Чтобы настроить службу rsyslog, выполните следующие действия:
-
Создайте файл конфигурации rsyslog:
sudo nano /etc/rsyslog.d/10-siem.conf -
Добавьте в созданный файл следующее правило:
if $syslogtag == 'mysqld' or $syslogtag == 'percona-audit' then { action(type="omfwd" target="<target>" port="<port>" protocol="<protocol>") stop }Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog на конвейере SIEM. -
<protocol>— сетевой протокол:tcpилиudp.
-
-
Перезапустите rsyslog для применения изменений:
sudo systemctl restart rsyslog
Настройка в R-Vision SIEM
Для интеграции источника с R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне Oracle MySQL.
-
Протокол: выберите вариант в соответствии с настройками на стороне Oracle MySQL.
-
-
Добавьте на конвейер элемент Нормализатор с правилами Oracle MySQL (идентификаторы правил: RV-N-194 и RV-N-195).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Oracle MySQL.
|
Найти события Oracle MySQL в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
