Инфраструктурные системы

При работе по подключению инфраструктурных систем в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

Citrix ADC (Netscaler)

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Citrix-ADC
Тип	Citrix-Netscaler
Вендор	Citrix
Порт	2870
Протокол	TCP

Примечание: рекомендуется настраивать источник через веб-интерфейс и использовать указанные параметры конфигурации. При конфигурировании через командную сроку используйте точно такие же параметры. Изменение любого из них может повлиять на корректность работы правил разбора в Платформе Радар.

Информацию о параметрах, а также о способе настройки источника с помощью командной строки, можно получить в документации на сайте вендора.

Для настройки источника выполните следующие действия:

Войдите в веб-интерфейс Citrix ADC (см. рисунок 1).

Рисунок 1 -- Вход в веб-интерфейс Citrix ADC
Перейдите в раздел Configuration → System → Auditing → Syslog (см. рисунок 2).

Рисунок 2 -- Настройки журналирования
Перейдите на вкладку Servers и нажмите кнопку Add. Откроется окно "Create Auditing Server" (см. рисунок 3).

Рисунок 3 -- Окно "Create Auditing Server"
Укажите в окне следующие настройки:
- в поле Name укажите наименование сервера;
- в поле Server Type из выпадающего списка выберите значение "Server IP";
- в поле IP Address укажите IP-адрес лог-коллектора;
- в поле Port укажите порт, по которому лог-коллектор будет принимать события от данного источника: "2871";
- в поле Log Levels выберите значение "ALL";
- в поле Log Facility выберите необходимый уровень facility;
- выберите журналы которые необходимо отправлять в Платформу Радар, установив соответствующие флаги.
- нажмите кнопку Create.
Создайте политику журналирования. Для этого перейдите на вкладку Policies и нажмите кнопку Add. Откроется окно "Create Auditing Syslog Policy" (см. рисунок 4)

Рисунок 4 -- Окно "Create Auditing Server"
Укажите в окне следующие настройки:
- в поле Name укажите наименование политики;
- в поле Expression Type выберите значение "Advanced Policy";
- в поле Server из выпадающего списка выберите сервер, который был создан ранее;
- нажмите кнопку Create.

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

tcp_input_citrix_adc: & tcp_input_citrix_adc
  id: "tcp_input_citrix_adc"
  host: "<IP-адрес лог-коллектора>"
  port: 2871 
  enable_tls: false
  compression_enabled: false
  connections_limit: 10
  format: "json"
  log_level: "INFO"

tcp_output_citrix_adc: &tcp_output_citrix_adc
  id: "tcp_output_citrix_adc"
  target_host: "<IP-адрес Платформы Радар/или балансера>"
  port: 2870

senders:
  port: 48001
  tcp:
    - <<: *tcp_output_citrix_adc

collectors:
  log_level: "INFO"
  tcp_receiver:
    - <<: *tcp_input_citrix_adc

route_citrix_adc: &route_citrix_adc
  collector_id:
    - "tcp_input_citrix_adc"
  sender_id:
    - "tcp_output_citrix_adc"

routers:
  - <<: *route_citrix_adc

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник Citrix-ADC.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Dell IDRAC

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	IDRAC
Тип	remote_access_control
Вендор	Dell
Порт	4529
Протокол	TCP

Для настройки источника выполните следующие действия:

Войдите в интерфейс Chassis Management Controller и перейдите в раздел Server Overview → Properties → Status (см. рисунок 5).

Рисунок 5 -- Chassis Management Controller UI. Настройки
Включите журналирование на нужных серверах. Для этого нажмите на кнопку IDRAC в строке соответствующего сервера (см. рисунок 6).

Рисунок 6 -- Список серверов
Перейдите в раздел Server → Logs → Settings (см. рисунок 7).

Рисунок 7 -- Настройка параметров журналирования
В разделе укажите следующие настройки:
- установите флаг Remote Syslog Settings;
- в поле Syslog Server укажите IP-адрес лог-коллектора;
- в поле Port Number укажите порт, по которому лог-коллектор будет принимать события от данного источника: "514";
- нажмите кнопку Apply.
Перейдите в раздел Server → Alerts (см. рисунок 8).

Рисунок 8 -- Настройка предупреждений. Часть 1
В разделе укажите следующие настройки:
- в блоке Alerts включите предупреждения и нажмите кнопку Apply;
- в блоке Alert Filter выберите необходимые фильтры, установив соответствующие флаги и нажмите кнопку Apply;
- в блоке Alerts and Remote System Log Configuration установите соответствующие флаги в графе таблицы "Remote System Log" и нажмите кнопку Apply (см. рисунок 9).
  
  Рисунок 9 -- Настройка предупреждений. Часть 2

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

tcp_input_idrac: & tcp_input_idrac
    id: "tcp_input_idrac"
    host: "<IP-адрес лог-коллектора>"
    port: 514
    sock_buf_size: 0
    format: "json"
    log_level: "INFO"
    encoding:
        change_to_utf8: true
        original_encoding: "cp1251"

tcp_output_idrac: & tcp_output_idrac
    id: "tcp_output_idrac"
    target_host: "<IP-адрес Платформы Радар/или балансера>" 
    port: 4529
    sock_buf_size: 0
    log_level: "INFO"

collectors:
    tcp_receiver:
    - <<: *tcp_input_idrac

senders:
  port: 48002
    tcp:
    - <<: *tcp_output_idrac

route_idrac: &route_idrac
    collector_id:
    - "tcp_input_idrac"
    sender_id:
    - "tcp_output_idrac"

routers:
    - <<: *route_idrac

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник IDRAC.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

FreeIpa

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	FreeIpa
Тип	LDAP
Вендор	Red-Hat
Порт	1600
Протокол	TCP

Cобытия от источника включены по умолчанию и записываются в следующие журналы:

/var/log/krb5kdc.log - содержит информацию о работе службы Kerberos 5 Key Distribution Center (KDC);
/var/log/dirsrv/slapd-YOURDOMAIN-LOCAL/access - содержит информацию о запросах на чтение данных из каталога LDAP;
/var/log/dirsrv/slapd-YOURDOMAIN-LOCAL/errors - содержит информацию об ошибках в работе службы каталога LDAP.

Для настройки источника выполните следующие действия:

Откройте конфигурационный файл службы rsyslog:
```
# nano /etc/rsyslog.conf
```

В конфигурационном файле /etc/rsyslog.conf укажите следующие настройки:

module(load="imfile" PollingInterval="10")
input(type="imfile"
reopenOnTruncate="on"
File="/var/log/krb5kdc.log"
Tag="tag_freeipa_log")

input(type="imfile"
reopenOnTruncate="on"
File="/var/log/dirsrv/slapd-PGR-LOCAL/access"
Tag="tag_freeipa_log")

input(type="imfile"
reopenOnTruncate="on"
File="/var/log/dirsrv/slapd-PGR-LOCAL/errors"
Tag="tag_freeipa_log")

if $syslogtag == 'tag_freeipa_log' then @<IP-адрес лог-коллектора>:1600
& stop

Где:

@ - передача данных по протоколу UDP;
<IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
1600 - порт, по которому лог-коллектор будет принимать события от данного источника.

Перезапустите службу rsyslog:
```
# systemctl restart rsyslog.service
```

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

udp_input_freelpa: & udp_input_freelpa
    id: "udp_input_freelpa"
    host: "<IP-адрес лог-коллектора>"
    port: 1600
    sock_buf_size: 0
    format: "json"
    log_level: "INFO"

tcp_output_freelpa: & tcp_output_freelpa
    id: "tcp_output_freelpa"
    target_host: "<IP-адрес Платформы Радар/или балансера>" 
    port: 1600
    sock_buf_size: 0
    log_level: "INFO"

collectors:
    udp_receiver:
    - <<: *udp_input_freelpa

senders:
  port: 48002
    tcp:
    - <<: *tcp_output_freelpa

route_freelpa: &route_freelpa
    collector_id:
    - "udp_input_freelpa"
    sender_id:
    - "tcp_output_freelpa"

routers:
    - <<: *route_freelpa

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник FreeIpa.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

FreeRADIUS

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	FreeRADIUS
Тип	RADIUS-Server
Вендор	FreeRADIUS
Порт	2935
Протокол	TCP

Для отправки событий с сервера FreeRADIUS используется служба rsyslog. События записываются и забираются из файла radius.log.

Для настройки источника выполните следующие действия:

Откройте конфигурационный файл radiusd.conf:
```
# nano /etc/freeradius/3.0/radiusd.conf
```

Настройте блок log следующим образом:

log {
 destination = syslog 
 file = syslog 
 syslog_facility = local2 
 stripped_names = no 
 auth = yes 
 auth_badpass = no 
 auth_goodpass = no 
# msg_goodpass = ""
# msg_badpass = ""
}

В конфигурационном файле найдите пункт logdir = /var/log/freeradius/radius.log и замените его на logdir = syslog.
Подготовьте конфигурационный файл для службы rsyslog со следующей настройкой:
```
local2.*        @@<IP-адрес лог-коллектора>:2935
```
Где: - local2.* - необходимый уровень facility; - @@ - передача данных по протоколу TCP; - <IP-адрес лог-коллектора> - IP-адрес лог-коллектора; - 2935 - порт, по которому лог-коллектор будет принимать события от данного источника.
Поместите его в директорию /etc/rsyslog.d/ и перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

tcp_input_radius: & tcp_input_radius
    id: "tcp_input_radius"
    host: "<IP-адрес лог-коллектора>"
    port: 2935
    sock_buf_size: 0
    format: "json"
    log_level: "INFO"

tcp_output_radius: & tcp_output_radius
    id: "tcp_output_radius"
    target_host: "<IP-адрес Платформы Радар/или балансера>" 
    port: 2935
    sock_buf_size: 0
    log_level: "INFO"

collectors:
    tcp_receiver:
    - <<: *tcp_input_radius

senders:
  port: 48002
    tcp:
    - <<: *tcp_output_radius

route_radius: &route_radius
    collector_id:
    - "tcp_input_radius"
    sender_id:
    - "tcp_output_radius"

routers:
    - <<: *route_radius

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник Cisco-NetFlow.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Gitlab

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Gitlab-DevOps-Platform
Тип	DevOps-Platform
Вендор	Gitlab
Порт	4450
Протокол	TCP

События аутентификации и изменение конфигураций сохраняются в журнал application.log по пути /var/log/gitlab/gitlab-rails/.

Для настройки источника выполните следующие действия:

Создайте шаблон /etc/rsyslog.d/gitlab_to_pangeoradar.conf для службы rsyslog и откройте его на редактирование:
```
sudo nano /etc/rsyslog.d/gitlab_to_pangeoradar.conf
```
Настройте отправку сообщений в Платформу Радар:
```
module(load="imfile" PollingInterval="10")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/gitlab/gitlab-rails/application.log"
      Tag="tag_gitlab_log")
if $syslogtag == 'tag_gitlab_log' then @<IP-адрес лог-коллектора>:4450
& stop    
```
Где:
- @ - передача данных по протоколу UDP;
- <IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
- 4450 - порт, по которому лог-коллектор будет принимать события от данного источника.

Откройте конфигурационный файл /etc/rsyslog.d/rsyslog.conf и закомментируйте следующие строки:

#$FileOwner syslog  
#$FileGroup adm  
#$FileCreateMode 0640  
#$DirCreateMode 0755  
#$Umask 0022  
#$PrivDropToUser git  
#$PrivDropToGroup git  
#$PrivDropToUser syslog  
#$PrivDropToGroup syslog

Сохраните изменения и перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

udp_input_gitlab: & udp_input_gitlab
    id: "udp_input_gitlab"
    host: "<IP-адрес лог-коллектора>"
    port: 4450
    sock_buf_size: 0
    format: "json"
    log_level: "INFO"

tcp_output_gitlab: & tcp_output_gitlab
    id: "tcp_output_gitlab"
    target_host: "<IP-адрес Платформы Радар/или балансера>" 
    port: 4450
    sock_buf_size: 0
    log_level: "INFO"

collectors:
    udp_receiver:
    - <<: *udp_input_gitlab

senders:
  port: 48002
    tcp:
    - <<: *tcp_output_gitlab

route_gitlab: &route_gitlab
    collector_id:
    - "udp_input_gitlab"
    sender_id:
    - "tcp_output_gitlab"

routers:
    - <<: *route_gitlab

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник Gitlab-DevOps-Platform.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

ISC Bind DNS

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	BIND
Тип	DNS
Вендор	ISC
Порт	2800
Протокол	TCP

Для настройки источника выполните следующие действия:

Настройте журналирование системы Bind. Для этого в файл /etc/bind/named.conf добавьте следующие строки:

logging {
    channel named {
        file "/var/log/named/named.log" versions 10 size 20M;
        severity info;
        print-time yes;
        print-category yes;
        print-severity yes;
    };

    channel security {
        file "/var/log/named/security.log" versions 10 size 20M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    channel dnssec {
        file "/var/log/named/dnssec.log" versions 10 size 20M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    channel resolver {
        file "/var/log/named/resolver.log" versions 10 size 20M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    channel query_log {
        file "/var/log/named/query.log" versions 10 size 80M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    channel query_error {
        file "/var/log/named/query_errors.log" versions 10 size 20M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    channel lame_servers {
        file "/var/log/named/lame-servers.log" versions 10 size 20M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    channel capacity {
        file "/var/log/named/capacity.log" versions 10 size 20M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    channel database {
        file "/var/log/named/database.log" versions 10 size 20M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    channel update {
        file "/var/log/named/update.log" versions 10 size 10M;
        severity info;
        print-time yes;
        print-severity yes;
    };

    category default        { default_syslog; named; };
    category general        { default_syslog; named; };
    category security       { security; };
    category queries        { query_log; };
    category query-errors   { query_error; };
    category lame-servers   { lame_servers; };
    category dnssec         { dnssec; };
    category edns-disabled  { default_syslog; resolver; };
    category config         { default_syslog; named; };
    category resolver       { resolver; };
    category cname          { resolver; };
    category spill          { capacity; };
    category rate-limit     { capacity; };
    category database       { database; };
    category client         { default_syslog; named; };
    category network        { default_syslog; named; };
    category unmatched      { named; };
    category delegation-only { named; };
    category update         { default_syslog; update; };
    category update-security { default_syslog; update; };
};

Сохраните изменения и проверьте конфигурацию:
```
# sudo named-checkconf /etc/bind/named.conf.options
```

Для организации хранения файлов журнала создайте директорию, настройте необходимые разрешения и владельцев:

# mkdir -p /var/log/named
# touch /var/log/named/named.log
# touch /var/log/named/security.log
# touch /var/log/named/dnssec.log
# touch /var/log/named/resolver.log
# touch /var/log/named/query.log
# touch /var/log/named/query_errors.log
# touch /var/log/named/lame-servers.log
# touch /var/log/named/capacity.log
# touch /var/log/named/database.log
# touch /var/log/named/update.log
# chown bind:bind /var/log/named
# chown bind:bind /var/log/named/*.log
# chmod 640 /var/log/named/*.log

Перезапустите сервис Bind9.
```
# service bind9 restart
```

Настройте службу rsyslog на сервере Bind. Для этого создайте шаблон по пути /etc/rsyslog.d/:

# sudo nano /etc/rsyslog.d/bind.conf

И укажите в нем следующие настройки:

module(load="imfile" PollingInterval="10")

input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/capacity.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/dnssec.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/named.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/query.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/security.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/database.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/lame-servers.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/query_errors.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/resolver.log"
      Tag="tag_dns_log")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/named/update.log"
      Tag="tag_dns_log")
if $syslogtag == 'tag_dns_log' then @<IP-адрес лог-коллектора>:2800
& stop

Где:

@ - передача данных по протоколу UDP;
<IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
2800 - порт, по которому лог-коллектор будет принимать события от данного источника.

Перезапустите службу rsyslog.
```
# systemctl restart rsyslog
```

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

udp_input_bind: & udp_input_bind
    id: "udp_input_bind"
    host: "<IP-адрес лог-коллектора>"
    port: 2800
    sock_buf_size: 0
    format: "json"
    log_level: "INFO"

tcp_output_bind: & tcp_output_bind
    id: "tcp_output_bind"
    target_host: "<IP-адрес Платформы Радар/или балансера>" 
    port: 2800
    sock_buf_size: 0
    log_level: "INFO"

collectors:
    udp_receiver:
    - <<: *udp_input_bind

senders:
  port: 48002
    tcp:
    - <<: *tcp_output_bind

route_bind: &route_bind
    collector_id:
    - "udp_input_bind"
    sender_id:
    - "tcp_output_bind"

routers:
    - <<: *route_bind

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник BIND.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Linux NFS Server

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Linux-NFS
Тип	Storage
Вендор	Linux-NFS-Project
Порт	4570
Протокол	TCP

Примечание: все настройки, должны осуществляться с правами администратора (root). Пример конфигурации приведен для сервера под управлением ОС Debian.

Для настройки источника выполните следующие действия:

Откройте файл /etc/default/nfs-kernel-server:
```
# nano /etc/default/nfs-kernel-server
```
Укажите в нем следующую настройку:
```
RPCNFSDOPTS="--syslog"
```
Откройте файл /etc/idmapd.conf:
```
# nano /etc/idmapd.conf
```
Укажите в нем следующую настройку:
```
Verbosity = 4
```
Выполните команду:
```
# rpcdebug -m nfsd -s all
```
Перезапустите службу nfs-kernel-server:
```
# systemctl restart nfs-kernel-server.service
```
Откройте конфигурационный файл службы rsyslog:
```
# nano /etc/rsyslog.conf
```
Добавьте в конец файла следующую строку:

:msg,contains,"nfsd" @@<IP-адрес лог-коллектора>:4570

Где:
- @@ - передача данных по протоколу TCP;
- <IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
- 4570 - порт, по которому лог-коллектор будет принимать события от данного источника.
Перезапустите службу rsyslog:
```
# systemctl restart rsyslog.service
```

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

tcp_input_linux_nfs: &tcp_input_linux_nfs
  id: "tcp_input_linux_nfs"
  host: "<IP-адрес лог-коллектора>"
  port: 4570
  enable_tls: false
  compression_enabled: false
  connections_limit: 10
  format: "json"
  log_level: "INFO"

tcp_output_linux_nfs: &tcp_output_linux_nfs
  id: "tcp_output_linux_nfs"
  target_host: "<IP-адрес Платформы Радар/или балансера>"
  port: 4570

senders:
  port: 48002
  tcp:
    - <<: *tcp_output_linux_nfs

collectors:
  tcp_receiver:
    - <<: *tcp_input_linux_nfs

route_linux_nfs: &route_linux_nfs
  collector_id:
    - "tcp_input_linux_nfs"
  sender_id:
    - "tcp_output_linux_nfs"

routers:
  - <<: *route_linux_nfs

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник BIND.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Microsoft Windows DNS

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-DNS
Тип	DNS
Вендор	Microsoft
Порт	1516
Протокол	TCP

Для настройки источника выполните следующие действия:

Откройте свойства DNS сервера и перейдите в раздел Ведение журнала отладки (см. рисунок 10).

Рисунок 10 -- Ведение журнала отладки.
В разделе укажите следующие настройки:
- включите запись пакетов в журнал для отладки, установив соответствующий флаг;
- настройте параметры в блоках Направление движения пакета, Содержимое пакета, Другие параметры, установив соответствующие флаги;
- в поле Имя и путь к файлу укажите файл, куда DNS сервер будет сохранять события.
- нажмите кнопку Применить.

В файл конфигурации лог-коллектора config.yaml внесите изменения в зависимости от хоста, на котором развернут лог-коллектор:

Сценарий, когда лог-коллектор развёрнут на том же хосте где и сам DNS сервер:

win_dns: &win_dns
  id: "win_dns"
  poll_interval: 1
  files: ["C:\\\\DNS_logs\\dns_logs.txt"]
  using_regexp: false
  regexp_starting_dir: "c://DNS_logs/"
  regexp_expression: ".txt"
  dir_check_interval: 2
  read_from_last: true
  enable_watcher: true
  log_level: "INFO"
  format: "json"
  encoding:
    change_to_utf8: false
    original_encoding: "cp1251"
  filters:
    blacklist: ["^M.*", "^D.*", "^L.*", "^\\s+.*"]

win_dns_out: &win_dns_out
  id: "win_dns_out"
  target_host: "<IP-адрес Платформы Радар/или балансера>"
  port: 1516        

senders:
  port: 48002
  tcp:
    - <<: *win_dns_out      

collectors:
  files:
    - <<: *win_dns      

route_win_dns: &route_win_dns
  collector_id:
    - "win_dns"
  sender_id:
    - "win_dns_out"

routers:
  - <<: *route_win_dns

Сценарий, когда лог-коллектор забирает события с DNS сервера по SMB:

smb_collector_out: &smb_collector_out
  id: "smb_collector_out"
  target_host: "<IP-адрес Платформы Радар/или балансера>"
  port: 1516 

smb_collector: &smb_collector
  id: "smb_collector"
  remote_servers: ["192.168.1.2"]
  port: 445
  share: "\\\\192.168.88.1.2\\DNS_logs"
  domain: "."
  user: "logcoll"
  password: "1"
  poll_interval: 5
  files: ["dns_logs.txt"]
  using_regexp: false
  regexp_starting_dir: "."
  regexp_expression: ".(?:txt|log)$"
  dir_check_interval: 5
  read_from_last: true
  format: "json"
  log_level: "INFO"
  filters:
   blacklist: ["^M.*", "^D.*", "^L.*", "^\\s+.*"]

senders:
  port: 48002
  log_level: "INFO"
  tcp:
    - <<: *smb_collector_out

collectors:
  log_level: "INFO"
  smb:
    - <<: *smb_collector

route_smb_collect: &route_smb_collect
  collector_id:
    - "smb_collector"
  sender_id:
    - "smb_collector_out"

routers:
  - <<: *route_smb_collect

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник Microsoft-Windows-DNS.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Microsoft Windows RDS-GW

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-RDS-GW
Тип	Gateway
Вендор	Microsoft
Порт	1510
Протокол	TCP

Примечание: события от источника включены по умолчанию и записываются в следующие журналы Windows: Microsoft-Windows-TerminalServices-Gateway/Admin и - Microsoft-Windows-TerminalServices-Gateway/Operational. Лог-коллектор должен быть установлен на том же сервере, где и Microsoft-Windows-RDS-GW.

Для настройки источника выполните следующие действия:

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

microsoft_rdgw: & microsoft_rdgw
  id: "microsoft_rdgw" 
  channel: ['Microsoft-Windows-TerminalServices-Gateway/Admin', 'Microsoft-Windows-TerminalServices-Gateway/Operational']
  query: "*"
  file: ""
  batch_size: 31
  timeout: 3
  poll_interval: 1
  read_from_last: true
  resolve_sid: false
  format: "json"

tcp_output_microsoft_rdgw: & tcp_output_microsoft_rdgw
  id: "tcp_output_microsoft_rdgw"
  target_host: "<IP-адрес Платформы Радар/или балансера>"
  port: 1510

journal:
  port: 48004
  log_level: "INFO"
  log_path: "C:\\Program Files\\Log Collector\\journal.log"
  rotation_size: 30
  max_backups: 7
  max_age: 7

collectors:
  log_level: "INFO"
  event_log:
    - <<: *microsoft_rdgw

senders:
  port: 48002
  log_level: "INFO"
  tcp:
    - <<: *tcp_output_microsoft_rdgw  

route_microsoft_rdgw: &route_microsoft_rdgw
  collector_id:
    - "microsoft_rdgw"
  sender_id:
    - "tcp_output_microsoft_rdgw"

routers:
  - <<: *route_microsoft_rdgw

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник Microsoft-Windows-RDS-GW.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Simon Kelley DNSmasq

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	DNSmasq
Тип	DNS
Вендор	Simon-Kelley
Порт	3011
Протокол	TCP

Для настройки источника выполните следующие действия:

При необходимости установите dnsmasq:
```
# apt install dnsmasq resolvconf
```
Настройте конфигурационный файл /etc/dnsmasq.conf:
```
## Раскомментируйте следуюшие параметры
no-resolv
server=8.8.8.8
listen-address=0.0.0.0
bind-interfaces

## Добавьте в конец файла следующий параметр
log-facility=/var/log/dnsmasq.log
```
Где
- no-resolv - параметр, отключающий загрузку настроек из /etc/resolv.conf, с целью загрузки настроек только из родного конфига /etc/dnsmasq.conf;
- server=8.8.8.8 - адрес публичного DNS-сервера, на который будут отправляться те запросы, какие не сможет обработать Dnsmasq будут направлены на этот сервер;
- listen-address=0.0.0.0 - настройка для осуществления подключения к DNS-серверу с других хостов;
- bind-interfaces - отключает привязку к интерфейсам на DNS-сервере;
- log-facility=/var/log/dnsmasq.log - включает отдельный лог для dnsmasq.
Для предотвращения конфликтов с system-resolve настройте конфигурационный файл /etc/systemd/resolved.conf
```
## Раскомментируйте данный параметр и укажите значение "no"
DNSStubListener=no
```

Перезапустите службы:

# systemctl restart systemd-resolved.service 
# systemctl start dnsmasq

Создайте шаблон /etc/rsyslog.d/10-dnsmasq.conf для службы rsyslog и укажите в нем следующие настройки:
```
# Input modules
module(load="imfile" mode="inotify" PollingInterval="10")

# dnsmasq log
input(type="imfile" File="/var/log/dnsmasq.log"
    Tag="ubuntu_dns"
    Severity="info"
    Facility="local3")

local3.*  @@<IP-адрес лог-коллектора>:3200
```
Где:
- @@ - передача данных по протоколу TCP;
- <IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
- 3200 - порт для данного источника.

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

out_file: &out_file
  id: "out_file"
  file: "/var/log/logcollector/output_file.txt"
  rotation_size: 10

tcp_input_dnsm: &tcp_input_dnsm
  id: "tcp_input_dnsm"
  host: "<IP-адрес лог-коллектора"
  port: 3200
  buf_size: 0
  format: "json"

tcp_sender_dnsm: &tcp_sender_dnsm
  id: "tcp_sender_dnsm"
  target_host: "<IP-адрес Платформы Радар/или балансера>"
  port: 3011
  log_level: "INFO"

senders:
  port: 48002
  out_file:
    - <<: *out_file
  tcp:
    - <<: *tcp_sender_dnsm

collectors:
  tcp_receiver:
    - <<: *tcp_input_dnsm

route_dnsm: &route_dnsm
  collector_id:
    - "tcp_input_dnsm"
  sender_id:
    - "tcp_sender_dnsm"   

routers:
  - <<: *route_dnsm

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник DNSmasq.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Unbound_DNS

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Unbound-Unbound_DNS
Тип	Unbound_DNS
Вендор	Unbound
Порт	3010
Протокол	TCP

Для настройки источника выполните следующие действия:

Откройте конфигурационный файл unbound.conf:
```
# sudo nano /etc/unbound/unbound.conf
```
Включите использование syslog:
```
server:  
use-syslog: yes
```
Сохраните изменение и перезапустите службу:
```
# sudo service unbound restart
```
Создайте шаблон /etc/rsyslog.d/30-unbound.conf для службы rsyslog и откройте его на редактирование:
```
sudo nano /etc/rsyslog.d/30-unbound.conf
```
Настройте отправку сообщений в Платформу Радар:
```
template (name="radar" type="string"  
string="<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag

`$.suffix` 

msg:::sp-if-no-1st-sp%%msg%")  
:syslogtag, contains, "unbound" @@<IP-адрес лог-коллектора>:3010;radar
```
Где:
- @@ - передача данных по протоколу TCP;
- <IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
- 3010 - порт, по которому лог-коллектор будет принимать события от данного источника.
Перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

tcp_input_unbound_dns: & tcp_input_unbound_dns
    id: "tcp_input_unbound_dns"
    host: "<IP-адрес лог-коллектора>"
    port: 3010
    sock_buf_size: 0
    format: "json"
    log_level: "INFO"

tcp_output_unbound_dns: & tcp_output_unbound_dns
    id: "tcp_output_unbound_dns"
    target_host: "<IP-адрес Платформы Радар/или балансера>" 
    port: 3010
    sock_buf_size: 0
    log_level: "INFO"

collectors:
    tcp_receiver:
    - <<: *tcp_input_unbound_dns

senders:
  port: 48002
    tcp:
    - <<: *tcp_output_unbound_dns

route_unbound_dns: &route_unbound_dns
    collector_id:
    - "tcp_input_unbound_dns"
    sender_id:
    - "tcp_output_unbound_dns"

routers:
    - <<: *route_unbound_dns

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник Unbound-Unbound_DNS.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.