VMware Horizon: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий платформы виртуализации рабочих мест VMware Horizon в R-Vision SIEM.
Настройка VMware Horizon
Настройка подсистемы журналирования
Чтобы настроить подсистему журналирования событий в VMware Horizon, выполните следующие шаги:
-
Войдите в веб-интерфейс VMware Horizon.
-
Перейдите в раздел Event Configuration.
-
На вкладке Event Database нажмите на кнопку Edit.
-
В открывшемся окне введите данные базы для сохранения событий:
-
Нажмите на кнопку OK.
Логирование на стороне источника настроено.
Настройка отправки событий
Чтобы настроить отправку событий в SIEM через веб-интерфейс VMware Horizon, выполните следующие шаги:
-
Войдите в веб-интерфейс VMware Horizon.
-
Перейдите в раздел Event Configuration.
-
На вкладке Syslog нажмите на кнопку Add.
-
В открывшемся окне укажите адрес и порт syslog-сервера:
-
В поле Server Address введите IP-адрес централизованного syslog-сервера, с которого будет осуществляться отправка сообщений в SIEM.
-
В поле UDP Port введите значение
514.
-
-
Нажмите на кнопку OK.
Отправка событий в SIEM на стороне источника настроена.
Настройка syslog-сервера
Для настройки syslog-сервера выполните следующие шаги:
-
Откройте конфигурационный файл rsyslog:
/etc/rsyslog.confили/etc/rsyslog.d/. -
Добавьте в файл правило обработки CEF-сообщений:
if $hostname == 'vmware.horizon.com' then { action(type="omfwd" Target="siem.com" Port="<port>" Protocol="tcp") stop }где
<port>— порт точки входа Syslog на конвейере SIEM — значение в диапазоне 30000—32767. -
Перезапустите rsyslog для применения изменений с помощью команды:
sudo systemctl restart rsyslog
Настройка в R-Vision SIEM
Для интеграции источника с R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне syslog-сервера.
-
Протокол: выберите вариант TCP.
-
-
Добавьте VRL-трансформацию:
.dproduct="Horizon"
-
Соедините добавленную точку входа и VRL-трансформацию.
-
Добавьте на конвейер элемент Нормализатор с правилом VMware Horizon (идентификатор правила: RV-N-120).
-
Соедините нормализатор с VRL-трансформацией.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события VMware Horizon.
|
Найти события VMware Horizon в хранилище можно по следующему фильтру:
|
Типы обрабатываемых событий
Описание событий доступно на GitHub.
Была ли полезна эта страница?
