Включение журнала безопасности
Включение отправки сообщений
Для отправки событий ИБ необходимо:
-
В конфигурационном файле логера
/etc/saymon/logger.json
добавить секциюchannels
. Если этого файла нет, его следует создать.Все возможные каналы и их настройки описаны в статье Конфигурация журнала событий безопасности. { "categories": { "Default": "Warn" }, "channels": { "session": [ { "type": "kafka", "options": { "server": "localhost:9092", "topic": "LOG_SESSION" } } ], "audit": [ { "type": "udp", "options": { "server": "localhost:10001" } } ], "faults": [ { "type": "udp", "options": { "server": "localhost:10001" } } ] } }
Каждый канал ( session
,audit
илиfaults
) можно настроить как на отправку в Kafka (в свой топик:LOG_SESSION
,LOG_AUDIT
,LOG_FAULTS
), так и на отправку во внешние системы (например syslog) по UDP. -
Запустить "маршрутизатор"
fluentd
.
Для этого нужно выполнить следующие действия:-
На сервере перейти в каталог
/etc/saymon/
:$ cd /etc/saymon/
-
Скачать конфигурационные файлы fluentd:
$ sudo wget http://docs.cpult.ru//_attachments/enable-security-log/fluentd.tar.gz
-
Распаковать архив
/etc/saymon/fluentd/
:$ tar -xvzf fluentd.tar.gz
-
Выполнить следующую команду:
$ sudo docker run -d --restart=unless-stopped --name=fluentd --network=host -v /etc/saymon/fluentd/config:/fluentd/etc -v /var/log/auth.log:/var/log/auth.log:ro -uroot --log-opt max-file=3 --log-opt max-size=10m portus.saymon.info/saymon-public/fluentd:latest
-
-
Запустить сервер Центрального Пульта
После этого все сообщения ИБ от сервера Центрального Пульта будут отправляться в "маршрутизатор" fluentd
Включение интерфейса журнала безопасности
Для просмотра логов ИБ необходимо:
-
В конфигурационном файле сервера
/etc/saymon/saymon-server.conf
добавить секциюlogdb
:{ "server": { ... }, "logdb": { "url": "mongodb://localhost:27017/logs", "collection": "securityLogs" } }
-
Перезапустить сервер Центрального Пульта.
-
Дать права на просмотр журнала событий ИБ. Для этого в меню Права на операции необходимо включить параметр «Мониторинг логов и событий ИБ».
После назначения пользователю соответствующих прав, в основном меню ему станет доступна ссылка на «Журнал событий ИБ». По этой кнопке можно перейти в интерфейс журнала безопасности.