Skip to main content

Настройка отправки событий в Syslog

Цель

Настройка отправки системных событий Printum во внешний Syslog-сервер (SIEM).

Предусловия

  • Syslog-сервер развёрнут и доступен из сети Printum
  • Известен адрес и порт Syslog-сервера

Особенности отправки

  • Отправка происходит по указанному хосту и порту (например, 192.168.10.10:1514).
  • Допустимые порты: 514, 1514, 1468. Если порт не указан — используется 514.
  • Авторизация по стандарту syslog не поддерживается — логин и пароль указывать не нужно.
  • Тело отчёта заполнять не нужно — отправляются все доступные параметры события.

Шифрование (TLS)

Для отправки по шифрованному протоколу укажите CA-сертификат и сертификат клиента в формате .pem. Шифрование выполняется по протоколу TLS (выбирается максимально возможная версия для сервера). Если нежелательный протокол TLS активирован — запретите его непосредственно на сервере syslog.

Для настройки syslog-сервера обратитесь к его официальной документации.

Формат событий

Логи передаются в следующем формате:

2023-05-25T06:15:21.930828+00:00 local Обнаружено новое устройство  event=2 user=One additional_parameters={'foo': 0}
2023-05-25T06:32:44.487278+00:00 test.local Обнаружено новое устройство  event=4 user=One location="Офис в Иваново" additional_parameters={'foo': 0}

Поля:

  • event — уникальный идентификатор события.
  • user — логин пользователя.
  • location — название локации (если есть).
  • additional_parameters — дополнительные параметры события.

Диагностика

Для проверки прослушиваемого порта (TCP/UDP) на сервере syslog:

netstat -tulnp

Ожидаемый результат

События из Printum поступают в Syslog-сервер в заданном формате.

Параметры настройки интеграции

Перейдите по адресу https://<адрес_сервера>:8001/config/integrations/ и выберите раздел «Внешние интеграции». Нажмите «Добавить».

Заполните поля:

ПараметрОписание Название конфигурацииПроизвольное имя интеграции, например «Syslog SIEM» ХостАдрес и порт сервера Syslog, например 192.168.10.10:1514. Допустимые порты: 514, 1514, 1468. Если порт не указан — используется 514 Тип интеграцииВыбрать Syslog LocationsЛокации, события которых передаются. Если не выбрать — передаются все события Интервал между обменамиВремя в минутах (минимум 1 минута) ВключеноАктивировать интеграцию после создания CA сертификатДля шифрования по TLS — CA-сертификат в формате .pem СертификатФайл SSL-сертификата клиента (.pem, без кодовой фразы)

Важно: авторизация по стандарту Syslog не поддерживается — логин и пароль указывать не нужно.

Создание конструктора отчётов для Syslog

    После создания интеграции нажать «Добавить» рядом с разделом «Отчёты для отправки» (события или логи безопасности). Заполнить поля:
      Внешняя интеграция — выбрать созданную интеграцию. Тело отчёта — поля для включения в отчёт (оставить пустым — передаются все поля).

      Для каждой интеграции допускается только один конструктор отчётов. Для передачи данных по нескольким пользователям необходимо создать несколько интеграций.

      Формат событий Syslog

      Пример лога:

      2023-05-25T06:15:21.930828+00:00 local Обнаружено новое устройство event=2 user=One additional_parameters={'foo': 0}
2023-05-25T06:32:44.487278+00:00 test.local Обнаружено новое устройство event=4 user=One location="Офис в Иваново" additional_parameters={'foo': 0}

      Поля события:

      ПолеТипОписание eventчислоУникальный ID события userстрокаЛогин пользователя locationстрокаНазвание локации (если есть) additional_parametersJSONДополнительные параметры события

      Поля логов безопасности

      ПолеТипОписание event_groupстрокаГруппа событий event_nameстрокаНазвание события event_name_unique_idчислоID события timestampстрокаВремя в формате ISO (пример: "2005-08-09T18:31:42") operation_subjectстрокаСубъект операции operation_objectстрокаОбъект операции resultстрокаРезультат операции event_levelстрокаУровень критичности changed_paramsJSONИзменённые параметры

      Шифрование TLS

      Для передачи по зашифрованному каналу укажите CA-сертификат и сертификат клиента в формате .pem. Версия TLS выбирается максимально возможная для сервера Syslog. Если нужна конкретная версия TLS — запретите нежелательные протоколы на стороне сервера Syslog.

      Для проверки порта Syslog на сервере:

      netstat -tulnp

      Связанные страницы

        Настройка подключения к почтовому серверу Управление пользователями — обзор
        Back to top