HAProxy: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий HAProxy в R-Vision SIEM.

Предварительные требования

Перед настройкой сбора событий в R-Vision SIEM убедитесь в выполнении следующих условий:

Сетевая связность между сервером HAProxy и SIEM (или промежуточным syslog-сервером) обеспечена, а необходимые порты открыты.
Настроена учетная запись с правами администратора для изменения конфигурации rsyslog.

Настройка HAProxy

Откройте конфигурационный файл HAProxy (обычно расположен по пути /etc/haproxy/haproxy.cfg) и приведите его к следующему виду.

Перед сохранением замените переменные-плейсхолдеры на ваши реальные данные:

<SIEM_HOST> — IP-адрес или балансировщик SIEM-системы.
<SIEM_UDP_PORT> — порт приема Syslog на конвейере SIEM, например, 30514.
<HOSTNAME> — имя текущего сервера HAProxy для идентификации источника.

global
    # Прямая отправка логов на удаленный сервер SIEM по UDP.
    log <SIEM_HOST>:<SIEM_UDP_PORT> rfc5424 local0 info
    # Укажите hostname сервера, на котором развернут HAProxy.
    log-send-hostname <HOSTNAME>

defaults
    # Применять глобальные настройки логирования ко всем блокам ниже.
    log                     global

    # [!] ВАЖНО: Не забудьте указать ваши сетевые таймауты (timeout client и другие), если они не заданы ниже.

#---------------------------------------------------------------------
# main frontend which proxys to the backends
#---------------------------------------------------------------------
frontend http_front
    bind :80
    bind :8443 ssl crt /etc/haproxy/server.pem
    mode http
    default_backend web_servers

    # Опции, необходимые для корректного сбора HTTP-логов.
    option                  httplog
    option                  dontlognull
    option                  forwardfor except 127.0.0.0/8

    # Пользовательский лог-формат в виде валидной JSON-строки.
    log-format "{\"date\":\"%tr\",\"client_ip\":\"%ci\",\"client_port\":%cp,\"frontend_name\":\"%ft\",\"backend_name\":\"%b\",\"server_name\":\"%s\",\"http_status\":%ST,\"bytes_read\":%B,\"request_method\":\"%HM\",\"request_uri\":\"%HP\",\"http_version\":\"%HV\",\"termination_state\":\"%ts\"}"

    # [!] ВАЖНО: Не забудьте указать ваши сетевые таймауты (timeout client и другие), если они не заданы в defaults.

frontend tcp_front
    bind :8080
    mode tcp
    default_backend tcp_backend

    # Опции логирования для уровня TCP.
    option                  dontlognull

    # Удобный JSON-формат для TCP логов.
    log-format "{\"client_ip\":\"%ci\",\"client_port\":%cp,\"frontend_name\":\"%ft\",\"backend_name\":\"%b\",\"server_name\":\"%s\",\"tw\":%Tw,\"tc\":%Tc,\"tt\":%Tt,\"bytes_read\":%B,\"termination_state\":\"%ts\"}"

    # [!] ВАЖНО: Не забудьте указать ваши сетевые таймауты (timeout client и другие), если они не заданы в defaults.

Перед перезапуском службы обязательно проверьте конфигурационный файл на наличие синтаксических ошибок. Для этого выполните команду в терминале:
```
sudo haproxy -c -f /etc/haproxy/haproxy.cfg
```
Если проверка прошла успешно, перезапустите службу HAProxy для применения изменений:
```
sudo systemctl restart haproxy
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне HAProxy.
- Протокол: выберите вариант UDP.
Добавьте на конвейер элемент Нормализатор с правилом HAProxy (идентификатор правила: RV-N-370).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.