Журнал событий безопасности

Центральный пульт поддерживает логирование событий, произошедших в системе, для последующего аудита администратором или службой безопасности.

Архитектура логирования безопасности

security log arch

Архитектура состоит из следующих элементов:

Источники логов

В роли источников логов выступают:

  • тематические каналы логирования сервера Центрального пульта, отправляющие логи во внешние системы по протоколу UDP или в топики Kafka.

  • внешние системы:

    • топики Kafka,

    • локальные файлы журналов (например syslog или auth.log),

    • любые другие системы передающие или хранящие сообщения.

Маршрутизатор логов (log-shipper)

Маршрутизатор (log-shipper) логов является отдельным самостоятельным компонентом, основной задачей которого является:

  • принимать логи из разных источников,

  • производить фильтрацию полученных сообщений,

  • преобразовывать полученные сообщений из одного формата в другой,

  • отправлять преобразованные данные в различные системы хранения и обработки.

Центральный пульт использует маршрутизатор fluentd.

Системы хранения и обработки логов

Маршрутизатор отправляет полученные логи в БД сервера Центрального пульта, откуда их можно получить через пользовательский интерфейс или REST API.

Также можно настроить отправку логов во внешние системы хранения по заданному в маршрутизаторе алгоритму. Маршрутизатор может отправлять в системы только определённые сообщения, либо отправлять одинаковые сообщения в несколько систем.

Количество внешних систем хранения не ограничено.