OpenVPN: настройка источника

Данное руководство описывает процесс настройки сбора событий c сервера OpenVPN и их отправки в хранилище R-Vision SIEM.

Настройка OpenVPN

Журналирование событий сервиса OpenVPN по умолчанию ведется в директории /var/log/openvpn. Дополнительных действий по настройке журналирования не требуется.

События сервера OpenVPN могут отправляться на централизованный сервер syslog или напрямую в систему SIEM. Далее рассмотрим оба варианта настройки.

Описание подсистемы журналирования OpenVPN

Если события сначала отправляются на сервер syslog, настройте отправку логов с сервера в SIEM. Для этого выполните следующие шаги:

Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).
Добавьте в файл следующее правило:
```
# Укажите адрес IP-адрес SIEM и порт, куда будут отправляться события
if $syslogtag contains 'openvpn' then {
  action(type="omfwd" target="<kub-node-fqdn>" port="<entrypoint-port>" protocol="tcp")
  stop
}
```
Здесь:
- <kube-node-fqdn> — IP-адрес или полное доменное имя (FQDN) ноды SIEM.
- <entrypoint-port> — порт точки входа, настроенный в соответствии с R-Vision SIEM
Перезапустите rsyslog, чтобы изменения вступили в силу:
```
sudo systemctl restart rsyslog
```

Отправка событий OpenVPN

Чтобы настроить отправку событий сервера OpenVPN, выполните следующие шаги:

Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).
Добавьте в файл следующие правила:
```
module(load="imfile" PollingInterval="10")
input(type="imfile"
      File="/var/log/openvpn/openvpn.log"
      Tag="openvpn")
input(type="imfile"
      File="/var/log/openvpn/openvpn-status.log"
      Tag="openvpn-stat")
if $syslogtag contains 'openvpn' then {
  action(type="omfwd" target="<target>" port="<port>" protocol="udp")
  stop
}
```
Здесь:
- <target>: введите IP-адрес или полное доменное имя (FQDN) сервера syslog или узла кластера Kubernetes, на котором запущен коллектор SIEM.
- <port>: для отправки событий на конвейер SIEM укажите порт точки входа Syslog — значение в диапазоне 30000—32767.
Перезапустите rsyslog, чтобы изменения вступили в силу:
```
sudo systemctl restart rsyslog
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа типа Syslog со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне сервера syslog.
- Протокол: выберите вариант в соответствии с настройками на стороне сервера syslog.
Добавьте на конвейер элемент Нормализатор с одним из следующих правил:
- OpenVPN (идентификатор правила: RV-N-90);
- OpenVPN (идентификатор правила: RV-N-91);
- OpenVPN Access Server (идентификатор правила: RV-N-165);
- OpenVPN Access Server (идентификатор правила: RV-N-b4ba871f7e88).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

openvpn pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события OpenVPN.

Найти события OpenVPN в хранилище можно по следующему фильтру:

dproduct = "OpenVPN"

openvpn storage

Типы обрабатываемых событий

Warning events
Peer info events
Channel events
MULTI events
PUSH events
SENT CONTROL events
Verify events
TLS events
Connection reset events
Client-instance restarting events
Peer connection initiated events
Connection established events

Была ли полезна эта страница?