Системы контроля привилегированного доступа
Staffcop Enterprise
Включение системной политики Syslog-коннектор
Включение данной политики позволяет выводить информацию попавшую под политику в системный журнал - /var/log/syslog
.
-
Перейдите во вкладку «Фильтры - Политики - Системные политики» (см. рисунок 1).
Рисунок 1 -- Системные политики.
-
По левому щелчку мыши по полю Syslog-коннектор откройте редактирование политики.
-
Во вкладке Фильтр задайте необходимые параметры для событий, которые вы хотите видеть в системе (см. рисунок 2).
Рисунок 2 -- Параметры для событий.
-
Во вкладке Свойства отметьте галочкой пункты Политика активна, Формат логов: CEF.
-
Примените только к новым или ко всем предыдущим событиям, сохраните изменения (см. рисунок 3).
Рисунок 3 -- Сохранение изменений.
Выбранные события раз в 5 минут будут помещаться в журнал /var/log/syslog.
Настройка rsyslog
На сервере StaffCop выполните следующие команды:
-
Проверьте наличие и активность службы rsyslog:
service rsyslog status
По умолчанию служба должна быть установлена и запущена
-
Создайте и откройте для редактирования конфигурационный файл
50-siem.conf
nano /etc/rsyslog.d/50-siem.conf
-
Пропишите в файл следующие настройки (заменив ip-адрес из примера на адрес Платформы Радар):
If $programname==’staffcop’ then @@10.10.10.10:514
-
Перезапустите службу rsyslog
service rsyslog restart
Добавление новой конфигурации в коллектор
Приведенные настройки с описанием для добавления в config.yaml ниже:
tcp_input: &tcp_input
id: "tcp_input"
host: "0.0.0.0"
port: 514
sock_buf_size: 0
format: "json"
tcp_output: &tcp_output
id: "tcp_output_3"
target_host: "10.10.10.10"
port: 2512
В поле
target host
необходимо указать ip-адрес вашей платформы.