Veeam Backup & Replication: настройка источника

Данное руководство описывает процесс отправки событий Veeam Backup & Replication в R-Vision SIEM.

Настройка Veeam Backup & Replication

Настройка журналирования Veeam Backup & Replication

Программное обеспечение Veeam Backup & Replication пишет события в журнал Veeam Backup, находящийся в каталоге C:\Windows\System32\winevt\Logs\Veeam Backup.

Перед подключением сбора логов с сервера Veeam Backup & Replication под управлением ОС Windows Server, начиная с Windows Server 2012 R2, необходимо установить и настроить агент R-Vision EVO (далее — агент) согласно руководству пользователя продукта R-Vision EVO. Все дальнейшие настройки производятся в веб-консоли сервера управления R-Vision EVO (далее — менеджер).

Настройка в R-Vision SIEM

Настройка отправки событий в R-Vision SIEM

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.

  2. Создайте группу агентов и добавьте в нее узел, на котором установлен агент.

  3. В созданной группе узлов в секции Чтение файлов нажмите на кнопку Добавить настройку (plus).

  4. В выпадающем списке Тип журнала выберите вариант eventlog.

  5. В поле Имя журнала введите значение Veeam Backup (имя журнала событий).

  6. Если фильтрация не требуется, то в поле Фильтр (формат XPATH) необходимо поставить знак *. Если необходимо выбирать события по определенным критериям, введите в это поле выражение XPath.

  7. Нажмите на кнопку Сохранить и применить.

  8. Дождитесь применения политики группы на узле. Сбор событий настроен.

Настройка обработки событий в R-Vision SIEM

В R-Vision SIEM уже должен быть настроен конвейер с точкой входа типа R-Vision EVO.

Для настройки интеграции продуктов R-Vision SIEM и R-Vision EVO обратитесь к документации продукта R-Vision SIEM.

Для настройки обработки событий Veeam Backup & Replication в R-Vision SIEM:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе (или откройте существующий).

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision EVO Endpoint.

    • Домен: введите значение в формате gw-<your_gateway_id>, где <your_gateway_id> — ID шлюза.

  3. Добавьте на конвейер элемент Нормализатор с правилом Veeam Software Veeam Backup (идентификатор правила: RV-N-122).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

veeam backup pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста под управлением Veeam Backup & Replication.

Найти события хоста под управлением Veeam Backup & Replication в хранилище можно по следующему фильтру:

dvendor = "Veeam"

veeam backup storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь