СберТех Platform V Pangolin SE: настройка источника
Данное руководство описывает процесс настройки пересылки логов аудита с сервера Platform V Pangolin SE в R-Vision SIEM с использованием службы rsyslog.
Настройка Platform V Pangolin SE
Для настройки пересылки логов аудита через syslog выполните шаги, перечисленные ниже.
Настройка конфигурации PostgreSQL
-
Откройте конфигурационный файл
/pgdata/<product-version>/data/postgresql.conf.Здесь
<product-version>— версия установленного экземпляра Platform V Pangolin SE. -
Отредактируйте значения параметров конфигурации следующим образом:
listen_addresses = '*' log_destination = 'syslog' logging_collector = on log_min_messages = debug5 log_min_error_statement = debug5 log_checkpoints = on log_connections = on log_disconnections = on log_error_verbosity = verbose # Для префикса log_line_prefix написано регулярное выражение в правиле нормализации SIEM log_line_prefix = '%m [%p] %u %r '
-
Перезапустите экземпляр Platform V Pangolin SE:
pg_ctl -D /pgdata/<product-version>/data/ -l /pgerrorlogs/<product-version>/postgresql.log restart
Здесь
<product-version>— версия установленного экземпляра Platform V Pangolin SE.
Настройка службы rsyslog
-
Откройте конфигурационный файл
/etc/rsyslog.d/10-pangolin.conf. -
Добавьте в файл следующее правило:
if $programname == 'postgres' or $syslogtag == 'postgres' then { action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>") stop }Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) централизованного syslog-сервера, с которого будет осуществляться отправка сообщений в SIEM. -
<port>— порт точки входа Syslog на конвейере SIEM: значение в диапазоне 30000—32767. -
<protocol>—tcpилиudp.
-
-
Перезапустите службу rsyslog:
sudo systemctl restart rsyslog
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне Platform V Pangolin SE.
-
Протокол: выберите вариант в соответствии с настройками на стороне Platform V Pangolin SE.
-
-
Добавьте на конвейер элемент Нормализатор с правилом SberTech Platform V Pangolin SE (идентификатор правила: RV-N-107).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер шину, настроенную на получение данных.
-
Соедините шину с нормализатором.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Platform V Pangolin SE.
|
Найти события Platform V Pangolin SE в хранилище можно по следующему фильтру:
|
Типы обрабатываемых событий
-
Connection; -
Disconnection; -
REQUEST; -
TRANSACTIONS; -
TABLE; -
INDEX; -
TABLE_DATA_MANIPULATION; -
PG_DUMP; -
PG_RESTORE; -
REPLICATION; -
AUDIT; -
START_STOP_SERVER.
Таблица маппинга
| Параметр | Значение |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Была ли полезна эта страница?
