Solar Dozor: настройка источника
Данное руководство содержит инструкции по настройке подключения Solar Dozor к системе R-Vision SIEM.
Настройка Solar Dozor
Для передачи событий Solar Dozor в систему R-Vision SIEM необходим инструмент syslog-ng.
Если в вашей системе не установлен syslog-ng, выполните следующие шаги:
-
Установите syslog-ng с помощью команды:
apt install syslog-ngУчетная запись должна иметь привилегии для установки сторонних пакетов. -
Создайте конфигурацию источника, как описано в документации Dozor.
-
Разместите конфигурацию источника в файле
/etc/syslog-ng/conf.d/dozor.conf. -
Если настройка выполнена корректно, то записанные события будут собираться в директории
/var/log/dozor.Пример 1. Пример конфигурации@define allow-config-dups 1 # Адрес и порт сервера syslog: @define REMOTE_SERVER "c7-syslog.example.com" @define REMOTE_PORT 10514 filter f_dozor_unit {match("dozor" value (".journald._SYSTEMD_UNIT"));}; filter f_syslog3 { not facility(auth, authpriv, mail) and not filter(f_debug) and not filter(f_dozor_unit); }; destination d_tcp_q { syslog("`REMOTE_SERVER`" transport("tcp") port(`REMOTE_PORT`) disk-buffer( reliable(yes) dir("/var/lib/syslog-ng") disk-buf-size(524288000) mem-buf-size(134217728) qout-size(10000) ) ); }; destination d_dozor { file("/var/log/dozor/${PROGRAM}.log" create-dirs(yes) dir-group("dozor") dir-owner("dozor") dir-perm(0755) group("dozor") owner("dozor") perm(0640) ); }; log { source(s_src); filter(f_dozor_unit); destination(d_dozor); }; log { source(s_src); filter(f_dozor_unit); destination(d_tcp_q); flags(final,flow-control); }; -
Найдите все необходимые файлы логов в директории
/var/log/dozorс помощью следующей команды:find /var/log/dozor -type f -printf 'file("%p" flags(no-parse));\n -
Дополните файл
dozor.confследующим содержимым:source sys_input { file("/var/log/dozor/software-center-database.log" flags(no-parse)); <files> }; destination d_siem { network("<target>" port(<port>) transport(<protocol>)); }; log { source(sys_input); destination(d_siem); };Здесь:
-
<files>— источникиfile()с указанием путей к файлам, полученным на предыдущем шаге. -
<target>— IP-адрес или полное доменное имя кластера Kubernetes, где будет запущен конвейер для обработки событий. -
<port>— порт, на который принимаются события. -
<protocol>— используемый протокол (tcpилиudp).
-
-
Перезагрузите службу
syslog-ngс помощью команды:systemctl restart syslog-ng -
Проверьте, что события отправляются, с помощью команды:
tail -f /var/log/syslog
Настройка на стороне источника завершена.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне сервера syslog.
-
Протокол: выберите вариант в соответствии с настройками на стороне сервера syslog.
-
-
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
.dvendor = "Solar" .dproduct = "Dozor" -
Соедините VRL-трансформацию с точкой входа.
-
Добавьте на конвейер элемент Нормализатор с правилом Solar Dozor (идентификатор правила: RV-N-113).
-
Соедините нормализатор с VRL-трансформацией.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Для отправки событий в коррелятор добавьте на конвейер шину, настроенную на получение.
-
Соедините шину с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Solar Dozor.
|
Найти события Solar Dozor в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
