Общие сведения
Настройка лог-коллектора заключается в конфигурировании Агентов сбора и Профилей сбора под особенности инфраструктуры организации.
Агент сбора – это компонент лог-коллектора, отвечающий за сбор событий от источников. Агент сбора создается автоматически при назначении узлу кластера соответствующей роли:
- agent – на узле будет установлена версия агента сбора для OC Linux;
- agent win – на узле будет установлена версия агента сбора для OC Windows.
Примечание: перед началом настройки лог-коллектора добавьте и установите (раскатите) соответствующие роли на нужных узлах (см. раздел Добавление роли).
В агент сбора входят следующие компоненты:
- Контроллер – общие параметры управления лог-коллектором и настройка поведения лог коллектора при достижении предела занятого места на диске;
- API Server – предоставляет возможность удаленного управления лог-коллектором и мониторинга;
- Сбор метрик – осуществляет сбор статистики по работе лог-коллектора;
- Журналирование – осуществляет ведение журнала работы лог-коллектора.
Управление агентами сбора описано в разделе Агенты сбора.
Профиль сбора – это набор настроек, отвечающий за сбор событий ИБ с конкретных источников. Принцип настройки лог-коллектора подразумевает что для одного агента сбора может быть настроено произвольное количество профилей сбора. Необходимое количество профилей сбора определяется количеством источников, с которых будет осуществляться сбор.
В зависимости от типа сбора событий компонент может работать в следующих режимах:
- Активный – лог-коллектор, согласно настройкам профиля сбора событий, будет обращаться к источнику для сбора событий;
- Пассивный – источник самостоятельно отправляет события в лог-коллектор.
Режимы работы профилей сбора также определяются по способу сетевого взаимодействия с источником:
- Локальный – лог-коллектор располагается на источнике, а именно лог-коллектор устанавливается в системе в виде агента и производит чтение файлов журналов;
- Удаленный – взаимодействие между лог-коллектором и источником выполняется по сети. Лог-коллектор устанавливается на выделенный сервер и осуществляет удаленный сбор событий. Также может быть установлен на конечном источнике событий, и осуществлять сбор не только с этого источника событий, но и с других систем.
За параметры сбора по различным протоколам и типам источников отвечают модули сбора, которые входят в состав профиля сбора. В зависимости от ОС, на которой функционирует агент сбора, поддерживаются следующие модули сбора:
| № | Модуль сбора | Windows | Linux | Описание |
|---|---|---|---|---|
| 1 | eventlog_input_local | + | – | Сбор событий через Windows EventLog (механизм RPC) |
| 2 | eventlog_input_remote | + | – | Cбор событий через Windows EventLog (механизм RPC) |
| 3 | external_command_input | + | + | Выполнение внешней команды в ОС |
| 4 | file_input | + | + | Чтение локального файла |
| 5 | ftp_input | + | + | Чтение файла, доступного через FTP |
| 6 | http_collector_input | + | + | Чтение файла, доступного через HTTP/HTTPs |
| 7 | http_request_input | + | + | Приём HTTP/HTTPs-запросов |
| 8 | kafka_input | – | + | Компонент отправляет получаемый поток событий в сервис Kafka. |
| 9 | mseven6_input | – | + | Сбор событий через Windows EventLog (механизм RPC) |
| 10 | netflow (nf_input) | + | + | Прием NetFlow трафика |
| 11 | odbc_input | + | + | Чтение данных из СУБД (MySQL, Oracle, MS SQL, PostgreSQL) |
| 12 | opsec_lea_input | – | + | Сбор событий с источников Checkpoint |
| 13 | sftp_input | + | + | Чтение файла, доступного через SFTP |
| 14 | smb_input | + | + | Чтение файла, доступного через SMB |
| 15 | snmp_input | + | + | Приём SNMP Traps |
| 16 | ssh (ssh_collector_input) | + | + | Выполнение внешней команды через SSH |
| 17 | tcp_input | + | + | Приём TCP трафика |
| 18 | udp_input | + | + | Приём UDP трафика |
| 19 | wmi_input | + | – | Cбор событий через механизм WMI |
После сбора и обработки событий профилем сбора, они отправляются в очередь на отправку. В зависимости от типа данных (структурированные/неструктурированные), получаемых от источника, к ним можно применить фильтр для формирования очереди. Фильтры используют механизм черных и белых списков. Подробнее см. раздел Фильтрация.
Управление профилями сбора описано в разделе Профили сбора.