Журнал событий безопасности
Центральный Пульт поддерживает журналирование событий, произошедших в системе, для последующего аудита администратором или службой безопасности.
Архитектура журналирования событий безопасности
Архитектура состоит из следующих элементов:
Источники журналов
В роли источников журналов выступают:
-
тематические каналы журналирования сервера системы Центральный Пульт, отправляющие записи журнала во внешние системы по протоколу UDP или в топики Kafka.
-
внешние системы:
-
топики Kafka,
-
локальные файлы журналов (например syslog или auth.log),
-
любые другие системы передающие или хранящие сообщения.
-
Маршрутизатор журналов (log-shipper)
Маршрутизатор журналов (log-shipper) является отдельным самостоятельным компонентом, основной задачей которого является:
-
принимать записи журналов из разных источников,
-
производить фильтрацию полученных сообщений,
-
преобразовывать полученные сообщений из одного формата в другой,
-
отправлять преобразованные данные в различные системы хранения и обработки.
Центральный Пульт использует маршрутизатор fluentd.
Системы хранения и обработки журналов
Маршрутизатор отправляет полученные записи журналов в БД сервера системы Центральный Пульт, откуда их можно получить через пользовательский интерфейс или REST API.
Также можно настроить отправку журналов во внешние системы хранения по заданному в маршрутизаторе алгоритму. Маршрутизатор может отправлять в системы только определённые сообщения, либо отправлять одинаковые сообщения в несколько систем.
| Количество внешних систем хранения не ограничено. |