РЕД АДМ: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий РЕД АДМ в R-Vision SIEM.

Предварительные требования

Настроен и сконфигурирован rsyslog-сервер на машине с установленным сервисом РЕД АДМ.

Настройка РЕД АДМ

Описание подсистемы журналирования РЕД АДМ

Система централизованного управления ИТ-инфраструктурой РЕД АДМ является программным продуктом, разработанным компанией РЕД СОФТ. РЕД АДМ имеет модульную структуру и агрегирует в себе множество модулей администрирования различного назначения.

Отправка событий РЕД АДМ

В настоящем руководстве рассматривается передача событий с помощью встроенного сервиса syslog и службы rsyslog. Для настройки событий авторизации, доступа к веб-интерфейсу и событий серверных служб выполните следующие действия:

Включите сервис в файле конфигурации Samba. Для этого:
- Откройте файл конфигурации /opt/reddc/etc/smb.conf.
- В секцию [global] в список директивы server services добавьте сервис redlog:
  server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, redlog
- Перезагрузите сервис reddc, чтобы изменения вступили в силу:
  systemctl restart redd

Создайте файл /etc/rsyslog.d/red-log.conf со следующим содержимым:

module(load="imfile") # Закомментируйте, если модуль используется в rsyslog.conf
input(type="imfile"
      file="/var/log/redadm/ldap_queries.log"
      tag="RedAdm_ldap"
      facility="local0"
      severity="info"
)
input(type="imfile"
      file="/var/log/redadm/event.log"
      tag="RedAdm_event"
      facility="local0"
      severity="info"
)
input(type="imfile"
      file="/var/log/redadm/session.log"
      tag="RedAdm_session"
      facility="local0"
      severity="info"
)
input(type="imfile"
      file="/var/log/redadm/server.log"
      tag="RedAdm_server"
      facility="local0"
      severity="info"
)
input(type="imfile"
      file="/var/log/redadm/ssh.log"
      tag="RedAdm_ssh"
      facility="local0"
      severity="info"
)
input(type="imfile"
      file="/var/log/redadm/playbook.log"
      tag="RedAdm_playbook"
      facility="local0"
      severity="info"
)
if $syslogtag contains "RedAdm" then {
        action(type="omfwd"
           target="<ip-address>"
           port="<port>"
           protocol="<proto>"
           action.resumeRetryCount="-1"  # Бесконечные попытки при ошибке сети
    )
    stop
}

<ip-address>: IP-адрес вашей воркер-ноды R-Vision SIEM.
<port>: порт точки входа, настроенной в конвейере.
<protocol>: tcp или udp в зависимости от настроек на стороне R-Vision SIEM.

Перезагрузите rsyslog-сервер для применения конфигурации:
```
systemctl restart rsyslog.service
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне РЕД АДМ.
- Протокол: выберите вариант в соответствии с настройками на стороне РЕД АДМ.
Добавьте на конвейер элемент Нормализатор с правилом РЕД АДМ (идентификатор правила: RV-N-327).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

red adm pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события РЕД АДМ.

Найти события РЕД АДМ в хранилище можно по следующему фильтру:

device_product = "red_adm"

red adm storage

Была ли полезна эта страница?