Перейти к содержанию

Системы контроля привилегированного доступа

Staffcop Enterprise

Включение системной политики Syslog-коннектор

Включение данной политики позволяет выводить информацию попавшую под политику в системный журнал - /var/log/syslog.

  1. Перейдите во вкладку «Фильтры - Политики - Системные политики» (см. рисунок 1).

    Системные политики

    Рисунок 1 -- Системные политики.

  2. По левому щелчку мыши по полю Syslog-коннектор откройте редактирование политики.

  3. Во вкладке Фильтр задайте необходимые параметры для событий, которые вы хотите видеть в системе (см. рисунок 2).

    Параметры для событий

    Рисунок 2 -- Параметры для событий.

  4. Во вкладке Свойства отметьте галочкой пункты Политика активна, Формат логов: CEF.

  5. Примените только к новым или ко всем предыдущим событиям, сохраните изменения (см. рисунок 3).

    Сохранение изменений

    Рисунок 3 -- Сохранение изменений.

Выбранные события раз в 5 минут будут помещаться в журнал /var/log/syslog.

Настройка rsyslog

На сервере StaffCop выполните следующие команды:

  1. Проверьте наличие и активность службы rsyslog:

    service rsyslog status

    По умолчанию служба должна быть установлена и запущена

  2. Создайте и откройте для редактирования конфигурационный файл 50-siem.conf

    nano /etc/rsyslog.d/50-siem.conf

  3. Пропишите в файл следующие настройки (заменив ip-адрес из примера на адрес Платформы Радар):

    If $programname==’staffcop’ then @@10.10.10.10:514

  4. Перезапустите службу rsyslog

    service rsyslog restart

Добавление новой конфигурации в коллектор

Приведенные настройки с описанием для добавления в config.yaml ниже:

tcp_input: &tcp_input
  id: "tcp_input"
  host: "0.0.0.0"
  port: 514
  sock_buf_size: 0
  format: "json"
tcp_output: &tcp_output
  id: "tcp_output_3"
  target_host: "10.10.10.10"
  port: 2512

В поле target host необходимо указать ip-адрес вашей платформы.