Настройка отправки событий в Syslog

Цель

Настройка отправки системных событий Printum во внешний Syslog-сервер (SIEM).

Предусловия

Syslog-сервер развёрнут и доступен из сети Printum
Известен адрес и порт Syslog-сервера

Особенности отправки

Отправка происходит по указанному хосту и порту (например, 192.168.10.10:1514).
Допустимые порты: 514, 1514, 1468. Если порт не указан — используется 514.
Авторизация по стандарту syslog не поддерживается — логин и пароль указывать не нужно.
Тело отчёта заполнять не нужно — отправляются все доступные параметры события.

Шифрование (TLS)

Для отправки по шифрованному протоколу укажите CA-сертификат и сертификат клиента в формате .pem. Шифрование выполняется по протоколу TLS (выбирается максимально возможная версия для сервера). Если нежелательный протокол TLS активирован — запретите его непосредственно на сервере syslog.

Для настройки syslog-сервера обратитесь к его официальной документации.

Формат событий

Логи передаются в следующем формате:

2023-05-25T06:15:21.930828+00:00 local Обнаружено новое устройство  event=2 user=One additional_parameters={'foo': 0}
2023-05-25T06:32:44.487278+00:00 test.local Обнаружено новое устройство  event=4 user=One location="Офис в Иваново" additional_parameters={'foo': 0}

Поля:

event — уникальный идентификатор события.
user — логин пользователя.
location — название локации (если есть).
additional_parameters — дополнительные параметры события.

Диагностика

Для проверки прослушиваемого порта (TCP/UDP) на сервере syslog:

netstat -tulnp

Ожидаемый результат

События из Printum поступают в Syslog-сервер в заданном формате.