Включение журнала безопасности

Включение отправки сообщений

Для отправки событий ИБ необходимо:

  1. В конфигурационном файле логера /etc/saymon/logger.json добавить секцию channels. Если этого файла нет, его следует создать.

    Все возможные каналы и их настройки описаны в статье Конфигурация журнала событий безопасности. 
    {
    "categories": {
        "Default": "Warn"
    },
    "channels": {
        "session": [
            {
                "type": "kafka",
                "options": {
                    "server": "localhost:9092",
                    "topic": "LOG_SESSION"
                }
            }
        ],
        "audit": [
            {
                "type": "udp",
                "options": {
                    "server": "localhost:10001"
                }
            }
        ],
        "faults": [
            {
                "type": "udp",
                "options": {
                    "server": "localhost:10001"
                }
            }
        ]
    }
}
    Каждый канал (session, audit или faults) можно настроить как на отправку в Kafka (в свой топик: LOG_SESSION, LOG_AUDIT, LOG_FAULTS), так и на отправку во внешние системы (например syslog) по UDP.

  2. Запустить "маршрутизатор" fluentd.
    Для этого нужно выполнить следующие действия:

    1. На сервере перейти в каталог /etc/saymon/:

      $cd /etc/saymon/

    2. Скачать конфигурационные файлы fluentd:

      $sudo wget http://docs.cpult.ru//_attachments/enable-security-log/fluentd.tar.gz

    3. Распаковать архив /etc/saymon/fluentd/:

      $tar -xvzf fluentd.tar.gz

    4. Выполнить следующую команду:

      $sudo docker run -d --restart=unless-stopped --name=fluentd --network=host -v /etc/saymon/fluentd/config:/fluentd/etc -v /var/log/auth.log:/var/log/auth.log:ro -uroot --log-opt max-file=3 --log-opt max-size=10m portus.saymon.info/saymon-public/fluentd:latest

  3. Запустить сервер Центрального Пульта

После этого все сообщения ИБ от сервера Центрального Пульта будут отправляться в "маршрутизатор" fluentd

Включение интерфейса журнала безопасности

Для просмотра логов ИБ необходимо:

  1. В конфигурационном файле сервера /etc/saymon/saymon-server.conf добавить секцию logdb:

    {
  "server": { ... },
  "logdb": {
    "url": "mongodb://localhost:27017/logs",
    "collection": "securityLogs"
  }
}

  2. Перезапустить сервер Центрального Пульта.

  3. Дать права на просмотр журнала событий ИБ. Для этого в меню Права на операции необходимо включить параметр «Мониторинг логов и событий ИБ».

После назначения пользователю соответствующих прав, в основном меню ему станет доступна ссылка на «Журнал событий ИБ». По этой кнопке можно перейти в интерфейс журнала безопасности.