Eltex MES: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Eltex MES в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между устройством Eltex MES и R-Vision SIEM (или промежуточным узлом) обеспечена, а необходимые порты открыты.

Настройка Eltex MES

Настройка журналирования

Для настройки журналирования событий Eltex MES выполните следующие шаги:

Перейдите в меню конфигурации с помощью команды:
```
configure
```
Включите типы сообщений, которые будут регистрироваться, с помощью команды logging. Доступно включение следующих типов сообщений:
- logging on — все доступные типы журналирования;
- aaa logging login — события аутентификации, авторизации и учета (ААА);
- logging events link-status — изменения состояний интерфейсов;
- logging events spanning-tree port-state-change — изменения статуса интерфейсов в STP;
- logging events spanning-tree topology-change — изменения топологии в STP;
- logging events spanning-tree root-bridge-change — смена root bridge;
- logging events ddm threshold — изменения параметров SFP с DDM;
- logging cli-commands — команды, введенные в командной строке;
- file-system logging <copy | delete-rename> — события файловой системы, где:
  - copy — копирование файлов;
  - delete-rename — удаление и переименование файлов.
- management logging deny — события запрета доступа к управлению коммутатором;
- logging service cpu-rate limits <traffic> — ограничения скорости входящих кадров для определенного типа трафика, где:
  - <traffic> — один из типов: http, telnet, ssh, snmp, ip, link-local, arp, switch-mode, arp inspection, stp-bpdu, other-bpdu, dhcp snooping, dhcpv6 snooping, igmp-snooping, mld-snooping, sflow, log deny-aces, vrrp.
    
    Чтобы отключить какой-либо тип журналирования, используйте ключевое слово no, например:
    
    no logging cli-commands

Настройте параметры журналирования командой logging:

logging aggregation on — группировка сообщений;
logging origin-id <id> — использование указанного идентификатора хоста в сообщениях Syslog, где <id> — строка, имя хоста, IPv4- или IPv6-адрес;
logging source-interface <interface> — использование IP-адреса указанного интерфейса в качестве источника в IP-пакетах протокола Syslog;

logging source-interface-ipv6 <interface> — использование IPv6-адреса указанного интерфейса в качестве источника в IP-пакетах протокола Syslog.

Чтобы посмотреть данные журналирования, выполните в основном интерфейсе Eltex MES следующую команду:

show logging

Пример результатов команды:

eltex mes logging

Включите отправку логов на удаленный сервер Syslog с помощью команды logging host:

logging host <target> port <port> severity <level> facility <facility>

Здесь:

<target> — IP-адрес или сетевое имя сервера;
<port> — номер порта для передачи сообщений Syslog по протоколу UDP;
<level> — уровень важности, начиная с которого сообщения будут передаваться на сервер syslog.

Существуют следующие уровни, перечисленные в порядке возрастания важности:
- debugging — отладочные;
- informational — информационные;
- notifications — уведомления;
- warnings — предупреждения;
- errors — ошибки;
- critical — критические ошибки;
- alerts — сигналы тревоги;
- emergencies — чрезвычайные сообщения.

<facility> — категория сообщений вида localN, где N — цифра от 0 до 7.

Пример использования команды

logging host 203.0.113.30 port 30150 facility local7 severity informational

При использовании данной команды все сообщения, кроме отладочных, будут направляться по протоколу udp на порт 30150.

Чтобы отменить логирование на указанный адрес, используйте ключевое слово no, например:
```
no logging host 203.0.113.30
```

Чтобы посмотреть текущее логирование, запустите в основном интерфейсе Eltex MES следующую команду:

show syslog-servers

Результат выполнения команды:

MSR#show syslog-servers
Source IPv4 interface:
Source IPv6 interface:

Device Configuration
-----------------------------

IP address        Port     Facility   Severity       Description
----------------  ------   ---------- ------------   ----------------------
203.0.113.30      30150    local7     info

Сохраните конфигурацию с помощью команды:
```
write
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Eltex MES.
- Протокол: выберите вариант UDP.
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.device_product = "mes"
```
Соедините точку входа с VRL-трансформацией.
Добавьте на конвейер элемент Нормализатор с правилом Eltex MES (идентификатор правила: RV-N-348).
Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

eltex mes pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Eltex MES.

Найти события Eltex MES в хранилище можно по следующему фильтру:

device_product = "mes"

eltex mes filter

Была ли полезна эта страница?