HAProxy: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий HAProxy (формат httplog) в R-Vision SIEM.

Предварительные требования

Наличие прав администратора на сервере с HAProxy и сервере Rsyslog.
Сетевая доступность между сервером HAProxy, промежуточным сервером Rsyslog и коллектором R-Vision SIEM.

Настройка HAProxy

Для настройки отправки событий выполните следующие действия на сервере балансировщика и сервере журналирования.

Настройка конфигурации HAProxy

Откройте файл конфигурации HAProxy (обычно /etc/haproxy/haproxy.cfg).
В блоке global укажите IP-адрес и порт сервера rsyslog, куда будут отправляться логи.

Где:
- 11.111.11.11 — пример IP-адреса сервера rsyslog.
- 514 — порт сервера rsyslog.
В блоке frontend main укажите порт, который будет прослушивать главный сервер, и название для backend-серверов.
В конец файла добавьте настройки backend серверов и (опционально) страницу сбора статистики.

Описание параметров:
- rockylinux9_apps: название группы серверов backend.
- balance: тип балансировки.
- server hpx02, server hpx03: имена серверов с IP-адресами и портами.
- Listen stats: настройка страницы статистики (поле bind указывает адрес и порт страницы, stats auth: логин/пароль, stats uri: адрес страницы).

Настройка отправки событий через Rsyslog

Подключитесь к серверу Rsyslog.
Создайте конфигурационный файл в директории /etc/rsyslog.d/ (например, 12-Haproxy.conf).
Добавьте в файл следующее правило для пересылки событий в SIEM:
```
if $syslogtag contains 'Haproxy' then {
  action(type="omfwd" Target="domain" Port="30660" Protocol="tcp")
  stop
}
```
Описание параметров:
- Haproxy: тег, указанный в конфигурации HAProxy.
- omfwd: модуль пересылки сообщений.
- Target: IP-адрес или FQDN коллектора R-Vision SIEM.
- Port: порт, на котором коллектор SIEM принимает события.
- Protocol: протокол отправки (TCP).

Настройка на стороне источника завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне HAProxy.
- Протокол: выберите вариант в соответствии с настройками на стороне HAProxy.
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.dvendor = "Haproxy Technologies"
.dproduct = "Haproxy"
```
Соедините VRL-трансформацию с точкой входа.
Добавьте на конвейер элемент Нормализатор с правилом HAProxy (идентификатор правила: RV-N-44).
Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

Pasted%20image%2020240708150103

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события HAProxy.

Найти события HAProxy в хранилище можно по следующему фильтру:

dproduct = "Haproxy"

Pasted%20image%2020240708150104

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?