Eltex MES: настройка источника

Данное руководство описывает, как настроить отправку логов с коммутаторов Eltex MES в систему R-Vision SIEM.

Настройка Eltex MES

Подключитесь к устройству через консольный порт.
Войдите в систему.

Данные для входа по умолчанию:
- логин — admin;
- пароль — admin.
Перейдите в меню конфигурации с помощью команды:
```
configure
```
Включите типы сообщений, которые будут регистрироваться, командой logging.

Доступно включение следующих типов:
- logging on — все доступные типы логирования.
- aaa logging login — события аутентификации, авторизации и учета (ААА).
- logging events link-status — изменения состояний интерфейсов.
- logging events spanning-tree port-state-change — изменения статуса интерфейсов в STP.
- logging events spanning-tree topology-change — изменения топологии в STP.
- logging events spanning-tree root-bridge-change — смена root bridge.
- logging events ddm threshold — изменения параметров SFP с DDM.
- logging cli-commands — команды, введенные в командной строке.
- file-system logging <copy | delete-rename> — события файловой системы, где:
  - copy — копирование файлов;
  - delete-rename — удаление и переименование файлов.
- management logging deny — события запрета доступа к управлению коммутатором.
- logging service cpu-rate limits <traffic> — ограничения скорости входящих кадров для определенного типа трафика.
  
  Здесь:
  - <traffic> — один из типов: http, telnet, ssh, snmp, ip, link-local, arp, switch-mode, arp inspection, stp-bpdu, other-bpdu, dhcp snooping, dhcpv6 snooping, igmp-snooping, mld-snooping, sflow, log deny-aces, vrrp.
- Чтобы отключить какой-либо тип логирования, используйте ключевое слово no, например:
  no logging cli-commands

Настройте параметры логирования командой logging:

logging aggregation on — группировка сообщений.
logging origin-id <id> — использование указанного идентификатора хоста в сообщениях syslog.

Здесь:
- <id> — строка, имя хоста, IPv4 или IPv6-адрес.
logging source-interface <interface> — использование IP-адреса указанного интерфейса в качестве источника в IP-пакетах протокола syslog.

logging source-interface-ipv6 <interface> — использование IPv6-адреса указанного интерфейса в качестве источника в IP-пакетах протокола syslog;

Чтобы посмотреть данные логирования, запустите в основном интерфейсе Eltex MES следующую команду:

show logging

Пример результатов команды show logging:

ShowLogging

Включите отправку логов на удаленный сервер syslog с помощью команды logging host:

logging host <target> port <port> transport <protocol> severity
<level> facility <facility>

Здесь:

<target> — IP-адрес или сетевое имя сервера.
<port> — номер порта для передачи сообщений по протоколу syslog.
<protocol> — udp или tcp.
<level> — уровень важности, начиная с которого сообщения будут передаваться на сервер syslog.

Существуют следующие уровни, перечисленные в порядке возрастания важности:
- debugging — отладочные;
- informational — информационные;
- notifications — уведомления;
- warnings — предупреждения;
- errors — ошибки;
- critical — критические ошибки;
- alerts — сигналы тревоги;
- emergencies — чрезвычайные сообщения.

<facility> — категория сообщений вида localN, где N — цифра от 0 до 7.

Пример использования команды

logging host 203.0.113.30 port 30150 facility local7 severity informational

При использовании данной команды все сообщения, кроме отладочных, будут направляться по протоколу udp на порт 30150.

Чтобы отменить логирование на указанный адрес, используйте ключевое слово no, например:
```
no logging host 203.0.113.30
```

Чтобы посмотреть текущее логирование, запустите в основном интерфейсе Eltex MES следующую команду:

show syslog-servers

Результат выполнения команды:

MSR#show syslog-servers
Source IPv4 interface:
Source IPv6 interface:

Device Configuration
-----------------------------

IP address        Port     Facility   Severity       Description
----------------  ------   ---------- ------------   ----------------------
203.0.113.30      30150    local7     info

Сохраните конфигурацию с помощью команды:
```
write
```

Настройка в R-Vision SIEM

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Eltex MES.
- Протокол: выберите вариант в соответствии с настройками на стороне Eltex MES.
Добавьте VRL-трансформацию:
```
.dproduct = "EltexMES"
```
Соедините VRL-трансформацию с точкой входа.
Добавьте на конвейер Нормализатор с правилом Нормализация событий источника Eltex MSR (идентификатор RV-N-34).
Соедините нормализатор с VRL-трансформацией.
Чтобы сохранять нормализованные события в хранилище, добавьте элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Чтобы отправлять события на другой конвейер для дальнейшей обработки, добавьте в коллектор шину.
Добавьте на конвейер соединение с этой шиной в режиме Получение.
На другом конвейере добавьте соединение с этой шиной в режиме Отправка.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

EltexMESPipelineScheme

Если настройка передачи событий выполнена корректно, в хранилище начнут поступать события Eltex MES.

Найти события Eltex MES в хранилище можно по следующему фильтру:

dproduct = "MES"

eltex mes storage

Была ли полезна эта страница?