ALD Pro: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий ALD Pro в R-Vision SIEM.

Предварительные требования

Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника.

Настройка ALD Pro

Настройка журналирования

В ALD Pro сбор событий осуществляется через syslog-ng. Для сбора событий необходимо настроить включение записи в журналы Kerberos /var/log/krb5kdc.log в соответствии с официальной документацией.

Настройка syslog-ng на сервере ALD Pro

На Astra Linux 1.7+ syslog-ng установлен по умолчанию. Для настройки syslog-ng выполните следующие шаги:

Добавьте на сервер с ALD Pro в /etc/syslog-ng/conf.d файл со следующей конфигурацией:

# nano /etc/syslog-ng/conf.d/aldpro-siem.conf

source aldpro {
        file("/var/log/dirsrv/slapd-{домен}/access" flags(no-parse) log_prefix("ALDPro-389DS-access: ")); # Указать название директории.
        file("/var/log/dirsrv/slapd-{домен}/audit" flags(no-parse) log_prefix("ALDPro-389DS-access: "));
        file("/var/log/dirsrv/slapd-{домен}/errors" flags(no-parse) log_prefix("ALDPro-389DS-errors: "));
        file("/var/log/apache2/error.log" flags(no-parse) log_prefix("ALDPro-apache-error: "));
        file("/var/log/apache2/access.log" flags(no-parse) log_prefix("ALDPro-apache-access: "));
        file("/var/log/krb5kdc.log" flags(no-parse) log_prefix("ALDPro-krb5kdc: "));
};

destination siem {
        udp("XX.XX.XX.XX" port(XX)); # Указать IP и порт syslog-сервера.
};

log {
        source(aldpro); destination(siem);
};

Перезапустите сервис syslog-ng с помощью команды:
```
# systemctl restart syslog-ng
```

Настройка на стороне syslog-сервера

Чтобы настроить syslog-сервер для пересылки событий, регистрируемых ALD Pro, в R-Vision SIEM, выполните следующие шаги:

Добавьте в /etc/rsyslog.d/ файл со следующей конфигурацией:
```
# nano /etc/rsyslog.d/aldpro.conf
```
```
if $syslogtag contains 'ALD' then {
  action(type="omfwd" target="<target>" port="<port>" protocol="<protocol>")
  stop
}
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.
- <port> — порт точки входа Syslog на конвейере SIEM.
- <protocol> — сетевой протокол: tcp или udp.
Перезапустите сервис rsyslog с помощью команды:
```
# systemctl restart rsyslog
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне ALD Pro.
- Протокол: выберите вариант в соответствии с настройками на стороне ALD Pro.
Добавьте на конвейер элемент Нормализатор с правилами FreeIPA и ALDPro (идентификаторы правил: RV-N-38, RV-N-39, RV-N-40, RV-N-41).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

ald pro pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события ALD Pro.

Найти события ALD Pro в хранилище можно по следующему фильтру:

dproduct = "ALDPro"

ald pro storage

Таблицы маппинга

Таблица соответствия полей события для всех рассмотренных типов событий журнала access представлена по ссылке.

Таблица соответствия полей события для всех рассмотренных типов событий журнала error представлена по ссылке.

Таблица соответствия полей события для всех рассмотренных типов событий журнала httpd представлена по ссылке.

Таблица соответствия полей события для всех рассмотренных типов событий журнала kdc представлена по ссылке.

Была ли полезна эта страница?