Системные журналы Linux

Данное руководство описывает процесс отправки событий из журналов ОС семейства Linux в R-Vision SIEM с помощью агента платформы R-Vision EVO.

Здесь и далее под ОС Linux подразумевается любой современный дистрибутив операционной системы на базе ядра Linux.

Настройка ОС Linux

Настройка сбора событий ОС Linux с помощью агента платформы R-Vision EVO включает установку агента R-Vision EVO на конечное устройство и конфигурирование политики.

Установка агента

Для установки агента обратитесь к документации продукта R-Vision SIEM.

Установите агент R-Vision EVO на станцию и настройте его связь с R-Vision SIEM. После этого в веб-интерфейсе R-Vision SIEM в разделе Агенты появится информация о подключенном хосте.

rpoint newly added host

Настройка в R-Vision SIEM

Настройка отправки событий в R-Vision SIEM

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.

  2. Создайте группу и добавьте в нее узел, на котором установлен агент.

  3. В созданной группе узлов в секции Пользователи и процессы переведите следующие переключатели в активное положение:

    • Вход/выход пользователей (Linux / macOS);

    • Создание процессов (Linux / macOS);

    • Добавление или изменение сервисов (Linux);

    • Управление пользователями (Linux / macOS).

  4. Нажмите на кнопку Сохранить.

    rpoint group settings1

Если требуется подключение журналов ОС, выполните следующие действия:

  1. В созданной группе узлов перейдите в секцию Чтение файлов.

  2. Для добавления первого журнала нажмите на кнопку Добавить настройку (plus).

  3. В выпадающем списке Тип журнала выберите вариант syslog.

  4. В поле Путь введите значение /var/log/auth.log.

  5. Для добавления второго журнала нажмите на кнопку Добавить настройку (plus).

  6. В выпадающем списке Тип журнала выберите вариант audit.

  7. В поле Путь введите значение /var/log/audit/audit.log.

  8. Нажмите на кнопку Сохранить.

    rpoint group settings2

  9. Дождитесь применения политики группы на узле. Сбор событий настроен.

Добавление узла в группу

Для добавления узла под управлением ОС Linux в созданную группу:

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты.

  2. Выберите нужный узел и нажмите на кнопку agent to group на панели инструментов.

  3. Выберите ранее созданную группу и нажмите на кнопку Добавить.

  4. Дождитесь применения политики на агенте.

Настройка обработки событий в R-Vision SIEM

Для настройки интеграции продуктов R-Vision SIEM и R-Vision Endpoint обратитесь к документации продукта R-Vision SIEM.

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision EVO Endpoint.

    • Домен: введите значение в формате gw-<your_gateway_id>, где <your_gateway_id> — ID шлюза.

  3. Добавьте на конвейер элемент Нормализатор с правилом Linux Rpoint (идентификатор правила: RV-N-57).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

linux rpoint pipeline

После настройки политики сбора и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста под управлением ОС Linux.

Найти события хоста под управлением ОС Linux в хранилище можно по следующему фильтру:

dvendor = "Linux"

linux storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь