Описание
Маршруты событий позволяют настроить отправку системных событий во внешние системы мониторинга такие как лог-коллекторы или SIEM-системы. Это обеспечивает централизованный сбор и анализ логов, что упрощает отладку, аудит и контроль безопасности. Система NAICE может отправлять события по протоколам UDP или TCP на указанные IP-адреса и порты.
Принцип работы:
На странице Маршруты событий администратор может просматривать, добавлять, редактировать и удалять конфигурации маршрутов для различных групп событий, в которых определяет на какой целевой адрес и каким транспортным протоколом будут отправляться необходимые группы событий безопасности комплекса NAICE. Все события из выбранных групп, будут в реальном времени отправляться во внешнюю систему в формате CEF внутри Syslog сообщений.
Примеры Syslog сообщений
Oct 20 14:06:38 naice-test-host CEF:1|Eltex|NAICE|1.0.0|1|LICENSE_ACTIVATION|10|src=172.16.0.2 suser=test-user-1 msg=The license NAICE-LICENSE-1 successfully activated. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1760943998573 productId=NAICE-LICENSE-1 suser=test-user Oct 20 14:07:42 naice-test-host CEF:1|Eltex|NAICE|1.0.0|2|LICENSE_ACTIVATION_ERROR|10|src=172.16.0.2 suser=test-user-1 msg=Error while activate license NAICE-LICENSE-1: License validation failed: Invalid signature. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=ERROR start=1760943998574 productId=NAICE-LICENSE-1 suser=test-user error=License validation failed: Invalid signature Oct 20 14:08:12 naice-test-host CEF:1|Eltex|NAICE|1.0.0|3|LICENSE_UPLOAD_LICENSE_FILE|10|src=172.16.0.2 suser=test-user-1 msg=The license file for NAICE-LICENSE-1 on naice-production-server successfully uploaded. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1760943998575 hostname=naice-production-server productId=NAICE-LICENSE-1 suser=test-user fileType=license file
Формат всех возможных сообщений описан в отдельной документации. Также все сообщения можно увидеть во встроенной документации в WEB-интерфейсе, в разделе Мониторинг - Система - Список системных событий.
Порядок настройки маршрута событий:
- Настройка основных параметров внешней системы.
- Настройка групп событий для отправки.
- Проверка маршрута путем отправки тестового сообщения.
Настройка основных параметров внешней системы
Настройка осуществляется в разделе "Мониторинг" - "Система" - "Маршруты событий"
Для добавления маршрута необходимо нажать соответсвующую иконку:
В открывшемся окне необходимо выполнить следующие настройки:
• Тип хранилища: Добавить можно только пользовательский тип (также существует системный маршрут, его невозможно создать повторно или редактировать)
• Имя: Указывается уникальное название маршрута (в примере "Тестовый маршрут 1").
• IP-адрес сервера: IP-адрес внешней системы.
• Порт: Сетевой порт на котором внешняя система ожидает сообщения.
• Протокол передачи данных: Транспортый протокл TCP или UDP, в зависимости от требований внешней системы.
• Описание: (Опционально) Информация о маршруте в свободной форме.
Настройка групп событий для отправки:
Группы событий определяют категории данных, отправляемых во внешнюю систему в рамках создаваемого маршрута и делят на 6 основных групп:
• Лицензирование: События связанные с активацией/истечением и другими событиями лицензирования продукта.
• Портал: Портальные события, все что касается портальных пользователей, например таких как авторизация гостей и работа СМС-шлюза для регистрации.
• RADIUS: События связанные с авторизацией пользователей, например 802.1x или MAB.
• TACAS: События аутентификации, авторизации и аккаунтинга для администраторов сетевых устройств по протоколу TACACS+.
• Обновление конфигурации услуг: Изменения конфигурации различных сущностей системы.
• Сессия: События связанные с сессиями пользователей.
Настройка точная: можно выбрать Все группы соответствующим чек-боксом, а можно настроить выбрать только необходимые группы выбором соответствующих чек-боксов конкретных групп.
Необходимо нажать Добавить для сохранения маршрута.
Добавление маршрута будет подтверждено всплывающим окном:
Проверка маршрута путем отправки тестового сообщения.
Для проверки работы маршрута предусмотрена отправка тестового сообщения. Она будет доступна по окончании настройки и после сохранения маршрута:
Отправка/доставка тестового сообщения будет подтверждена отдельным окном:
При невозможности доставить сообщение статус будет соответствующим ошибке (например SIEM-система не доступна или установление TCP-сессии завершено по таймауту). Пример ошибки по таймауту:
При отправке тестового события из схемы NAICE с резервом (2 и более хостов NAICE), отправка тестовых событий будет выполнена со всех хостов в резерве, соответственно события будут возвращаться с перечнем сервисов (хостов NAICE). Примеры различных статусов:
Статус доставки тестового сообщения будет зависеть от выбранного протокола. Протокол UDP не подразумевает установки сессии, в связи с чем подтверждение доставки сообщения во внешнюю систему невозможно. Такие сообщения всегда будут считаться успешно отправленными. Сообщения отправленные транспортом TCP будут иметь корректный статус доставки (Успешно отправлено / Ошибка отправки / Время истекло)
Пример настройки rsyslog для приема событий SIEM на отдельном хосте
Установка и настройка rsyslog
Установка
sudo apt update sudo apt install rsyslog
Для настройки необходимо раскомментировать или добавить в /etc/rsyslog.conf строки:
# provides UDP syslog reception module(load="imudp") input(type="imudp" port="5141") #Порт приема сообщений UDP # provides TCP syslog reception module(load="imtcp") input(type="imtcp" port="5141") #Порт приема сообщений TCP
Необходимо использовать сетевые порты указанные в маршрутах
После этого необходимо перезапустить сервис:
sudo service rsyslog restart
Проверка
По умолчанию rsyslog помещает данные о всех собьытиях в /var/log/syslog
Командой ниже осуществляется мониторинг событий помещаемых в syslog в реальном времени:
tail -fn 0 /var/log/syslog
Пример вывода команды, видны события NAICE в rsyslog:
2025-11-05T07:51:25+00:00 naice-host CEF: 1|Eltex|NAICE|1.0-13347|42|CREATE_PORTAL_USER|6|src=100.125.0.64 suser=admin msg=Portal user 'portal-tester-001' has been created. dst=100.110.2.26 dst_host=Perevoznikov-ub24-NEW dpt=443 proto=HTTPS event_log_level=INFO start=1762329085851 portalUserName=portal-tester-001 2025-11-05T07:51:25+00:00 naice-host CEF: 1|Eltex|NAICE|1.0-13347|42|CREATE_PORTAL_USER|6|src=100.125.0.64 suser=admin msg=Portal user 'portal-tester-001' has been created. dst=100.110.2.26 dst_host=Perevoznikov-ub24-NEW dpt=443 proto=HTTPS event_log_level=INFO start=1762329085851 portalUserName=portal-tester-001 2025-11-05T07:51:30+00:00 naice-host CEF: 1|Eltex|NAICE|1.0-13347|44|DELETE_PORTAL_USER|6|src=100.125.0.64 suser=admin msg=Portal users 'portal-tester-001' have been deleted. dst=100.110.2.26 dst_host=Perevoznikov-ub24-NEW dpt=443 proto=HTTPS event_log_level=INFO start=1762329090145 portalUsersNames=portal-tester-001 2025-11-05T07:51:30+00:00 naice-host CEF: 1|Eltex|NAICE|1.0-13347|44|DELETE_PORTAL_USER|6|src=100.125.0.64 suser=admin msg=Portal users 'portal-tester-001' have been deleted. dst=100.110.2.26 dst_host=Perevoznikov-ub24-NEW dpt=443 proto=HTTPS event_log_level=INFO start=1762329090145 portalUsersNames=portal-tester-001 2025-11-05T10:23:01+00:00 naice-host CEF: 1|Eltex|NAICE|1.0-13347|118|EXPIRED_USER_SESSION|6|src=172.19.0.15 suser=admin msg=User session 'admin' from ip '100.125.0.64' is expired. dst=100.110.2.26 dst_host=Perevoznikov-ub24-NEW dpt=443 proto=HTTPS event_log_level=INFO start=1762338181445 login=admin userIp=100.125.0.64 2025-11-05T10:23:01+00:00 naice-host CEF: 1|Eltex|NAICE|1.0-13347|118|EXPIRED_USER_SESSION|6|src=172.19.0.15 suser=admin msg=User session 'admin' from ip '100.125.0.64' is expired. dst=100.110.2.26 dst_host=Perevoznikov-ub24-NEW dpt=443 proto=HTTPS event_log_level=INFO start=1762338181445 login=admin userIp=100.125.0.64
События видны в нераспарсенном виде, так как парсинг как функционал отсутствует в rsyslog. При настройке парсеров и правил в конкретной SIEM-системе - необходимо обращаться к документации данной SIEM системы.
Решение проблем
Возможные вопросы
Настроен маршрут событий, протокол UDP, отправка тестового события происходит успешно, но в SIEM-системе события нет.
Совет: В рамках протокола UDP невозможно проверить успешность доставки сообщения, этого не позволяет сам протокол, поэтому все отправленные тестовые события по UDP будут всегда успешны. Необходимо перепроверить настройку SIEM системы согласно официальной документации поставщика, проверить сетевую связность между SIEM-системой и хостами NAICE, провести тест настроив дополнительный хост с rsyslog как описано выше и отправив на него несколько тестовых или рабочих событий.
Настроен маршрут событий, протокол TCP, отправка тестового события происходит успешно, но в SIEM-системе нет событий.
Совет: Если отправка тестового сообщения подтверждена, значит оно было доставлено в SIEM-систему. Далее необходимо проверить корректность настройки SIEM-системы согласно официальной документации поставщика. Внутри маршрута событий необходимо проверить, что выбраны необходимые группы событий.
Настроен маршрут событий, протокол TCP, отправка тестового события завершается ошибкой "SIEM-система недоступна".
Совет: Данное сообщение говорит о том, что со стороны SIEM-системы отказано в установлении TCP-сессии для отправки тестового события. Необходимо проверить, что в маршруте указаны корректный сетевой порт и ip-адрес SIEM-системы, также проверьте, что на хосте SIEM-системы в параметрах firewall (если настроен) разрешен TCP-трафик с указанных хоста NAICE и указанного в маршруте сетевого порта.
Настроен маршрут событий, протокол TCP, отправка тестового события завершается ошибкой "Время истекло".
Совет: Данное сообщение говорит о том, что со стороны SIEM-системы не получен никакой ответ при установке TCP-сессии в процессе доставки тестового события.Необходимо проверить, что в маршруте указаны корректный сетевой порт и ip-адрес SIEM-системы, также проверьте, что на хосте SIEM-системы в параметрах firewall (если настроен) разрешен TCP-трафик с указанных хоста NAICE и указанного в маршруте сетевого порта.
Проверка отправки сообщений на стороне NAICE
Можно проверить, что сообщения со стороны хоста NAICE отправляются в указанную SIEM-систему на сетевом уровне, для этого необходимо сделать следующее:
- Изменить настройки маршрута событий - выберите все группы событий для маршрута (Можно настроить конкретные группы событий для точной проверки)
- Подключиться к хосту NAICE по ssh и запустите процесс снятия дампа при помощи утилиты tcpdump с указанием сетевого интерфейса через который будет происходить отправка сообщений, а также сетевого порта указанного в маршруте событий:
sudo tcpdump -i <Сетевой интерфейс> port <сетевой порт>
- Сделайте несколько произвольных действий в системе NAICE, например создайте нового сетевого пользователя (Можно выполнить иное конкретное действие, чтобы получить конкретное событие)
- Результат отразится в дампе в реальном времени, примеры:
### Пример для сетевого интерфейса ens3, порта 5141 и протокола UDP tcpdump -i ens3 -A -s 0 'udp port 5141' ###### Вывод команды при отправке сообщения: root@ub24:/home/tester# tcpdump -i ens3 -A -s 0 'udp port 5141' tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on ens3, link-type EN10MB (Ethernet), snapshot length 262144 bytes 09:53:15.827444 IP 100.110.2.26.43325 > 100.110.2.19.5141: UDP, length 294 E..B.<@.?.bfdn..dn...=.....HNov 10 09:53:15 ub24 CEF:1|Eltex|NAICE|1.0-13426|57|CREATE_USER|6|src=100.125.0.64 suser=admin msg=Network user 'tester123' has been created. dst=100.110.2.26 dst_host=ub24 dpt=443 proto=HTTPS event_log_level=INFO start=1762768395823 identityUserName=tester123
В этом случае адресат CEF-сообщения: 100.110.2.19.5141
Отправленное CEF-сообщение: Nov 10 09:53:15 ub24 CEF:1|Eltex|NAICE|1.0-13426|57|CREATE_USER|6|src=100.125.0.64 suser=admin msg=Network user 'tester123' has been created. dst=100.110.2.26 dst_host=ub24 dpt=443 proto=HTTPS event_log_level=INFO start=1762768395823 identityUserName=tester123
### Пример команды для сетевого интерфейса ens3, порта 5141 и протокола TCP
tcpdump -i ens3 -A -s 0 'tcp port 5141'
###### Вывод команды при отправке сообщения:
root@Perevoznikov-ub24-NEW:/home/tester# tcpdump -i ens3 -A -s 0 'tcp port 5141'
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on ens3, link-type EN10MB (Ethernet), snapshot length 262144 bytes
10:00:25.291956 IP 100.110.2.26.57054 > 100.110.2.19.5141: Flags [S], seq 2346146212, win 64240, options [mss 1460,sackOK,TS val 74781170 ecr 0,nop,wscale 7], length 0
E..<..@.?...dn..dn........Y..........7.........
.u..........
10:00:25.293242 IP 100.110.2.19.5141 > 100.110.2.26.57054: Flags [S.], seq 432217038, ack 2346146213, win 65160, options [mss 1460,sackOK,TS val 3900375808 ecr 74781170,nop,wscale 7], length 0
E..<..@.@.m.dn..dn............Y.....lz.........
.{...u......
10:00:25.293265 IP 100.110.2.26.57054 > 100.110.2.19.5141: Flags [.], ack 1, win 502, options [nop,nop,TS val 74781171 ecr 3900375808], length 0
E..4..@.?...dn..dn........Y........../.....
.u...{..
10:00:25.294056 IP 100.110.2.26.57054 > 100.110.2.19.5141: Flags [P.], seq 1:298, ack 1, win 502, options [nop,nop,TS val 74781172 ecr 3900375808], length 297
E..]..@.?...dn..dn........Y..........X.....
.u...{..Nov 10 10:00:25 ub24 CEF:1|Eltex|NAICE|1.0-13426|57|CREATE_USER|6|src=100.125.0.64 suser=admin msg=Network user 'tester1234' has been created. dst=100.110.2.26 dst_host=ub24 dpt=443 proto=HTTPS event_log_level=INFO start=1762768825290 identityUserName=tester1234
10:00:25.294753 IP 100.110.2.19.5141 > 100.110.2.26.57054: Flags [.], ack 298, win 507, options [nop,nop,TS val 3900375809 ecr 74781172], length 0
E..4..@.@...dn..dn............Z............
.{...u..
В этом случае адресат CEF-сообщения: 100.110.2.19.5141
Отправленное CEF-сообщение: Nov 10 10:00:25 ub24 CEF:1|Eltex|NAICE|1.0-13426|57|CREATE_USER|6|src=100.125.0.64 suser=admin msg=Network user 'tester1234' has been created. dst=100.110.2.26 dst_host=ub24 dpt=443 proto=HTTPS event_log_level=INFO start=1762768825290 identityUserName=tester1234