Журнал событий безопасности

SAYMON поддерживает логирование событий, произошедших в системе, для последующего аудита администратором или службой безопасности.

Архитектура логирования безопасности

Архитектура состоит из следующих элементов:

Источники логов
Маршрутизатор логов (log shipper)
Системы хранения и обработки логов

Источники логов

В роли источников логов выступают:

тематические каналы логирования SAYMON сервера, отправляющие логи во внешние системы по протоколу UDP или в топики Kafka.
внешние системы:
- топики Kafka,
- локальные файлы журналов (например syslog или auth.log),
- любые другие системы передающие или хранящие сообщения.

Маршрутизатор логов (log-shipper)

Маршрутизатор (log-shipper) логов является отдельным самостоятельным компонентом, основной задачей которого является:

принимать логи из разных источников,
производить фильтрацию полученных сообщений,
преобразовывать полученные сообщений из одного формата в другой,
отправлять преобразованные данные в различные системы хранения и обработки.

В SAYMON используется маршрутизатор fluentd.

Системы хранения и обработки логов

Маршрутизатор отправляет полученные логи в БД SAYMON сервера, откуда их можно получить через интерфейс SAYMON или REST API.

Также, можно настроить отправку логов во внешние системы хранения по заданному в маршрутизаторе алгоритму. Маршрутизатор может отправлять в системы только определённые сообщения, либо отправлять одинаковые сообщения в несколько систем.

Количество внешних систем хранения не ограничено.