Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Настройка осуществляется в разделе Мониторинг → Система → Маршруты событий:

Image Modified

Для добавления маршрута необходимо нажать соответсвующую соответствующую иконку:

Image RemovedImage Added

В открывшемся окне необходимо выполнить следующие настройки:

  • Image Modified

...

  • Тип хранилища: Добавить можно только пользовательский тип (также существует системный маршрут, его невозможно создать повторно или редактировать)

...

  • Имя: Указывается уникальное название маршрута (в примере "Тестовый маршрут 1").

...

  • IP-адрес сервера: IP-адрес внешней системы.

...

  • Порт: Сетевой порт на котором внешняя система ожидает сообщения. 

...

  • Протокол передачи данных:

...

  • Транспортный протокол TCP или UDP, в зависимости от требований внешней системы.

...

  • Описание: (Опционально) Информация о маршруте в свободной форме.

Настройка групп событий для отправки:

Группы событий определяют категории данных, отправляемых во внешнюю систему в рамках создаваемого маршрута и делят на 6 основных групп:  

  • Лицензирование:  События, связанные с активацией/истечением и другими событиями лицензирования продукта.  

...

  • Портал: Портальные события, все что касается портальных пользователей, например таких как авторизация гостей и работа СМС-шлюза для регистрации.

...

  • RADIUS: События, связанные с авторизацией пользователей, например 802.1x или MAB.

...

  • TACAS+: События аутентификации, авторизации и аккаунтинга для администраторов сетевых устройств по протоколу TACACS+.

...

  • Обновление конфигурации услуг: Изменения конфигурации различных сущностей системы.

...

  • Сессия: События, связанные с сессиями пользователей.

...

  • Оповещения: События, связанные с отправкой уведомлений пользователям.

Настройка точная: можно выбрать Все группы соответствующим чек-боксом, а можно настроить выбрать только необходимые группы выбором соответствующих чек-боксов конкретных групп.

Image RemovedImage Added

Необходимо нажать Добавить и продолжить для сохранения маршрута, при этом перехода на страницу с таблицей маршрутов не произойдет.

Image Removed

Image AddedДобавление маршрута будет подтверждено всплывающим окном:

Image RemovedImage Added

Проверка маршрута путем отправки тестового сообщения.

Для проверки работы маршрута предусмотрена отправка тестового сообщения. Она будет доступна по окончании настройки и после сохранения маршрута:

Image RemovedImage Added

Отправка/доставка тестового сообщения будет подтверждена отдельным окном:

Image RemovedImage Added

При невозможности доставить сообщение статус будет соответствующим ошибке (например SIEM-система не доступна или установление TCP-сессии завершено по таймауту). Пример ошибки по таймауту:

Image RemovedImage Added

При отправке тестового события из схемы NAICE с резервом (2 и более хостов узлов NAICE), отправка тестовых событий будет выполнена со всех хостов узлов в резерве, соответственно события будут возвращаться с перечнем сервисов (хостов узлов NAICE). Примеры различных статусов:

Image RemovedImage AddedImage Removed

Image Added

Примечание

Статус доставки тестового сообщения будет зависеть от выбранного протокола. Протокол UDP не подразумевает установки сессии, в связи с чем подтверждение доставки сообщения во внешнюю систему невозможно. Такие сообщения всегда будут считаться успешно отправленными. Сообщения отправленные транспортом TCP будут иметь корректный статус доставки (Успешно отправлено / Ошибка отправки / Время истекло)

...

По умолчанию rsyslog помещает данные о всех собьытиях событиях в /var/log/syslog

Командой ниже осуществляется мониторинг событий помещаемых в syslog в реальном времени:

...

Совет: В рамках протокола UDP невозможно проверить успешность доставки сообщения, этого не позволяет сам протокол, поэтому все отправленные тестовые события по UDP будут всегда успешны. Необходимо перепроверить настройку SIEM системы согласно официальной документации поставщика, проверить сетевую связность между SIEM-системой и хостами узлами NAICE, провести тест настроив дополнительный хост с с rsyslog как описано выше и отправив на него несколько тестовых или рабочих событий. 

...

Совет: Данное сообщение говорит о том, что со стороны SIEM-системы отказано в установлении TCP-сессии для отправки тестового события. Необходимо проверить, что в маршруте указаны корректный сетевой порт и ip-адрес SIEM-системы, также проверьте, что на хосте SIEM-системы в параметрах firewall (если настроен) разрешен TCP-трафик с указанных хоста узлов NAICE и указанного в маршруте сетевого порта. 

...

Совет: Данное сообщение говорит о том, что со стороны SIEM-системы не получен никакой ответ при установке TCP-сессии в процессе доставки тестового события.Необходимо проверить, что в маршруте указаны корректный сетевой порт и ip-адрес SIEM-системы, также проверьте, что на хосте SIEM-системы в параметрах firewall (если настроен) разрешен TCP-трафик с указанных хоста узла NAICE и указанного в маршруте сетевого порта.

...