С-Терра Шлюз: настройка источника Syslog

Данное руководство описывает процесс настройки сбора и отправки событий программно-аппаратного комплекса С-Терра Шлюз в R-Vision SIEM посредством Syslog.

Настройка С-Терра Шлюз

Для настройки Syslog на С-Терра Шлюз выполните следующие шаги:

  1. Откройте Cisco-like консоль источника.

  2. Перейдите в режим администрирования.

    enable

  3. Перейдите в режим конфигурации.

    configure terminal

  4. Включите логирования и установите необходимый уровень.

    logging on
logging trap debugging

  5. Чтобы настроить службу отправки, выполните следующие шаги:

    1. Откройте интерфейс командной строки источника.

    2. Введите следующие команды:

      log_mgr set-syslog -y enable -a <ip-коллектора SIEM> -f local7
log_mgr set -l debug

  6. Установите предподготовленные, то есть уже имеющиеся в источнике, конфигурационные файлы логирования:

    log_mgr set -e /opt/VPNagent/etc/msg_grpCERTS.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpKERNEL.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpLDAP.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpPOLICY.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpSYSTEM.ini -f

  7. Откройте указанный файл:

    nano /etc/rsyslog.conf

  8. Добавьте в файл следующую строку:

    local7.* @<ip-адрес коллектора SIEM>:<Порт>

  9. Сохраните файл.

  10. Перезагрузите службу rsyslog:

    systemctl restart rsyslog.service

Настройка источника завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в диапазоне 30000—​32767.

    • Протокол: выберите вариант в соответствии с настройками на стороне С-Терра Шлюз.

  3. Добавьте на конвейер элемент Нормализатор с правилом S-Terra Gate ST (идентификатор правила: RV-N-311).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

s terra gate pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события С-Терра Шлюз.

Найти события С-Терра Шлюз в хранилище можно по следующему фильтру:

normalization_rule_id = "RV-N-311"

s terra gate storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь