Eltex ESR: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий физических и виртуальных маршрутизаторов семейства Eltex ESR в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между устройством Eltex ESR и R-Vision SIEM, или промежуточным узлом, обеспечена, а необходимые порты открыты.

Настройка Eltex ESR

Конфигурация логирования

Перейдите в меню конфигурации с помощью команды:
```
configure
```
Настройте сбор логов из необходимых журналов, выполнив для каждого из них команду:
```
logging <journal-name>
```
Здесь:
- <journal-name> — имя журнала.
  
  Список поддерживаемых журналов для других моделей и версий описан в документации производителя.
  
  Поддерживаются следующие журналы:
- aaa — журнал авторизации и аутентификации.
- acl — журнал работы со списками контроля доступа.
- firewall — журнал параметров файрвола.
- ips — журнал IP-адресов.
- login — журнал параметров логина.
- nat — журнал NAT.
- service — журнал сервисных параметров.
- syslog — журнал параметров syslog.
- userinfo — журнал изменений в профиле пользователя.
Настройте отправку логов в syslog-коллектор с помощью команды:
```
syslog host <hostname>
```
Здесь:
- <hostname> — имя вашего хоста в системе Eltex.
Перейдите в меню настройки вашего хоста. Для отправки логов укажите следующие параметры конфигурации:
- remote-address — адрес syslog-коллектора, поддерживаются IPv4- и IPv6-адреса;
- port — порт прослушивания syslog-коллектора;
- severity — уровень логирования, начиная с которого события будут передаваться в SIEM. Доступные уровни логирования:
  - emerg — критическая ситуация.
  - alert — небезопасные действия.
  - crit — проверка состояния.
  - error — ошибка.
  - warning — вывод предупреждений.
  - notice — события в рамках ожидаемого поведения.
  - info — статистика.
  - debug — отладка поступающих сообщений.
  - none — отсутствие передачи событий.
- transport — протокол передачи данных: udp или tcp.
  
  Пример общей настройки параметров:
  remote-address <address> port 30104 severity info transport udp
Выйдите в основное меню настройки с помощью команды:
```
exit
```
Команду необходимо ввести два раза.
Примените изменения и запишите их в память устройства с помощью команд:
```
commit
confirm
```
Сохраните конфигурацию с помощью команды:
```
save
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Socket.
- Порт точки входа: введите значение в соответствии с настройками на стороне Eltex ESR.
- Протокол: выберите вариант в соответствии с настройками на стороне Eltex ESR.
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.device_product = "esr"
```
Соедините точку входа с VRL-трансформацией.
Добавьте на конвейер элемент Нормализатор с правилом Eltex ESR (идентификатор правила: RV-N-345).
Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

eltex esr pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Eltex ESR.

Найти события Eltex ESR в хранилище можно по следующему фильтру:

device_product = "esr"

eltex esr storage

Была ли полезна эта страница?