...
Настройка осуществляется в разделе Мониторинг → Система → Маршруты событий:
Для добавления маршрута необходимо нажать соответсвующую соответствующую иконку:
В открывшемся окне необходимо выполнить следующие настройки:
...
- Тип хранилища: Добавить можно только пользовательский тип (также существует системный маршрут, его невозможно создать повторно или редактировать)
...
- Имя: Указывается уникальное название маршрута (в примере "Тестовый маршрут 1").
...
- IP-адрес сервера: IP-адрес внешней системы.
...
- Порт: Сетевой порт на котором внешняя система ожидает сообщения.
...
- Протокол передачи данных:
...
- Транспортный протокол TCP или UDP, в зависимости от требований внешней системы.
...
- Описание: (Опционально) Информация о маршруте в свободной форме.
Настройка групп событий для отправки:
Группы событий определяют категории данных, отправляемых во внешнюю систему в рамках создаваемого маршрута и делят на 6 основных групп: •
- Лицензирование: События, связанные с активацией/истечением и другими событиями лицензирования продукта.
...
- Портал: Портальные события, все что касается портальных пользователей, например таких как авторизация гостей и работа СМС-шлюза для регистрации.
...
- RADIUS: События, связанные с авторизацией пользователей, например 802.1x или MAB.
...
- TACAS+: События аутентификации, авторизации и аккаунтинга для администраторов сетевых устройств по протоколу TACACS+.
...
- Обновление конфигурации услуг: Изменения конфигурации различных сущностей системы.
...
- Сессия: События, связанные с сессиями пользователей.
...
- Оповещения: События, связанные с отправкой уведомлений пользователям.
Настройка точная: можно выбрать Все группы соответствующим чек-боксом, а можно настроить выбрать только необходимые группы выбором соответствующих чек-боксов конкретных групп.
Необходимо нажать Добавить и продолжить для сохранения маршрута, при этом перехода на страницу с таблицей маршрутов не произойдет.
Добавление маршрута будет подтверждено всплывающим окном:
Проверка маршрута путем отправки тестового сообщения.
Для проверки работы маршрута предусмотрена отправка тестового сообщения. Она будет доступна по окончании настройки и после сохранения маршрута:
Отправка/доставка тестового сообщения будет подтверждена отдельным окном:
При невозможности доставить сообщение статус будет соответствующим ошибке (например SIEM-система не доступна или установление TCP-сессии завершено по таймауту). Пример ошибки по таймауту:
При отправке тестового события из схемы NAICE с резервом (2 и более хостов узлов NAICE), отправка тестовых событий будет выполнена со всех хостов узлов в резерве, соответственно события будут возвращаться с перечнем сервисов (хостов узлов NAICE). Примеры различных статусов:
| Примечание |
|---|
Статус доставки тестового сообщения будет зависеть от выбранного протокола. Протокол UDP не подразумевает установки сессии, в связи с чем подтверждение доставки сообщения во внешнюю систему невозможно. Такие сообщения всегда будут считаться успешно отправленными. Сообщения отправленные транспортом TCP будут иметь корректный статус доставки (Успешно отправлено / Ошибка отправки / Время истекло) |
...
По умолчанию rsyslog помещает данные о всех собьытиях событиях в /var/log/syslog
Командой ниже осуществляется мониторинг событий помещаемых в syslog в реальном времени:
...
Совет: В рамках протокола UDP невозможно проверить успешность доставки сообщения, этого не позволяет сам протокол, поэтому все отправленные тестовые события по UDP будут всегда успешны. Необходимо перепроверить настройку SIEM системы согласно официальной документации поставщика, проверить сетевую связность между SIEM-системой и хостами узлами NAICE, провести тест настроив дополнительный хост с с rsyslog как описано выше и отправив на него несколько тестовых или рабочих событий.
...
Совет: Данное сообщение говорит о том, что со стороны SIEM-системы отказано в установлении TCP-сессии для отправки тестового события. Необходимо проверить, что в маршруте указаны корректный сетевой порт и ip-адрес SIEM-системы, также проверьте, что на хосте SIEM-системы в параметрах firewall (если настроен) разрешен TCP-трафик с указанных хоста узлов NAICE и указанного в маршруте сетевого порта.
...
Совет: Данное сообщение говорит о том, что со стороны SIEM-системы не получен никакой ответ при установке TCP-сессии в процессе доставки тестового события.Необходимо проверить, что в маршруте указаны корректный сетевой порт и ip-адрес SIEM-системы, также проверьте, что на хосте SIEM-системы в параметрах firewall (если настроен) разрешен TCP-трафик с указанных хоста узла NAICE и указанного в маршруте сетевого порта.
...



















