Сетевые устройства

При работе по подключению сетевых устройств в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Включение/выключение источников в Платформе;
• Пример конфигурационного файла лог-коллектора;
• Руководство по настройке лог-коллектора.

Cisco Aironet 4404 Wireless LAN Controller

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-Aironet
Тип	Switch
Вендор	Cisco
Порт	2526
Протокол	TCP

Настройку источника можно выполнить следующими способами:

• с помощью консоли устройства;
• с помощью веб-интерфейса.

Способ 1. С помощью консоли устройства:

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

1. Включите журналирование событий:

   (config)# logging on
   

2. Установите необходимый уровень facility (по умолчанию local7):

   (config)# logging <facility>
   

3. Укажите IP-адрес лог-коллектора:

   (config)# logging <IP-адрес лог-коллектора>
   

4. Включите запись временных меток при журналировании событий:

   (config)# service timestamp log datatime
   

5. Сохраните изменения:

   (config)# copy running-config startup-config
   

Способ 2. С помощью веб-интерфейса:

1. Войдите в веб-интерфейс устройства.

2. Перейдите в раздел Management → Logs → Configs (см. рисунок 1).

   

   Рисунок 1 -- Cisco Aironet. Настройка журналирования

3. Укажите в разделе следующую информацию:

   • в поле Syslog Server IP Addres укажите IP-адрес лог-коллектора и нажмите кнопку Add;
   • в поле Syslog Level из выпадающего списка выберите уровень журналирования;
   • в поле Facility и выпадающего списка выберите необходимый уровень facility.
   • нажмите кнопку Apply.
4. Нажмите кнопку Save Configuration.

Далее необходимо настроить лог-коллектор и включить источник в платформе:

1. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_cisco_aironet: & udp_input_cisco_aironet
       id: "udp_input_cisco_aironet"
       host: "<IP-адрес лог-коллектора>"
       port: 2526
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_cisco_aironet: & tcp_output_cisco_aironet
       id: "tcp_output_cisco_aironet"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2526
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       udp_receiver:
       - <<: *udp_input_cisco_aironet
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_cisco_aironet
   
   route_cisco_aironet: &route_cisco_aironet
       collector_id:
       - "udp_input_cisco_aironet"
       sender_id:
       - "tcp_output_cisco_aironet"
   
   routers:
       - <<: *route_cisco_aironet
   

2. Перезапустите службу лог-коллектора.

3. Перейдите в раздел Администрирование → Источники → Управление источниками.
4. Включите источник Cisco-Aironet.
5. Нажмите кнопку Синхронизировать.
6. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Cisco IOS. Netflow

Платформа Радар поддерживает работу с устройствами Cisco, работающими по следующим версиям протокола Netflow:

• v5;
• v9.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-NetFlow
Тип	NetFlow
Вендор	Cisco
Порт	2162
Протокол	TCP

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

2. Включите экспорт статистики сетевого трафика:

   (config)# ip-flow-export destination <IP-адрес лог-коллектора> <порт лог-коллектора> (по умолчанию 2162)
   (config)# ip flow-export version <версия протокола> (допустимые значения: 5 или 9) 
   (config)# interface <интерфейс, с которого необходимо собирать статистику>
   (config)# ip flow ingress
   (config)# ip flow egress
   

3. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   tcp_input_nf: & tcp_input_nf
       id: "tcp_input_nf"
       host: "<IP-адрес лог-коллектора>"
       port: 2162
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_nf: & tcp_output_nf
       id: "tcp_output_nf"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2162
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       nf_receiver:
       - <<: *tcp_input_nf
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_nf
   
   route_nf: &route_nf
       collector_id:
       - "tcp_input_nf"
       sender_id:
       - "tcp_output_nf"
   
   routers:
       - <<: *route_nf
   

4. Перезапустите службу лог-коллектора.

5. Перейдите в раздел Администрирование → Источники → Управление источниками.
6. Включите источник Cisco-NetFlow.
7. Нажмите кнопку Синхронизировать.
8. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Cisco IOS Router. System logging

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-IOSRouter
Тип	IOSRouter
Вендор	Cisco
Порт	2524
Протокол	TCP

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

2. Включите логирование попыток подключения к устройству:

   (config)# service timestamps log datetime localtime show-timezone year
   (config)# logging userinfo
   (config)# login on-failure log
   (config)# login on-success log
   

3. Включите логирование изменений конфигурации устройства:

   (config)# archive
   (config-archive)# log config
   (config-archive-log-cfg)# logging enable
   (config-archive-log-cfg)# notify syslog
   (config-archive-log-cfg)# hidekeys
   

4. Настройте отправку событий на лог-коллектор, указав IP-адрес лог-коллектора, порт для данного источника и значение facility (по умолчанию local5):

   (config)# logging facility local5
   (config)# logging host <IP-адрес лог-коллектора> transport tcp port <порт лог-коллектора> 
   

5. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   tcp_input_cisco_iosrouter: & tcp_input_cisco_iosrouter
       id: "tcp_input_cisco_iosrouter"
       host: "<IP-адрес лог-коллектора>"
       port: 2524
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_cisco_iosrouter: & tcp_output_cisco_iosrouter
       id: "tcp_output_cisco_iosrouter"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2524
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       tcp_receiver:
       - <<: *tcp_input_cisco_iosrouter
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_cisco_iosrouter
   
   route_cisco_iosrouter: &route_cisco_iosrouter
       collector_id:
       - "tcp_input_cisco_iosrouter"
       sender_id:
       - "tcp_output_cisco_iosrouter"
   
   routers:
       - <<: *route_cisco_iosrouter
   

6. Перезапустите службу лог-коллектора.

7. Перейдите в раздел Администрирование → Источники → Управление источниками.
8. Включите источник Cisco-IOSRouter.
9. Нажмите кнопку Синхронизировать.
10. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Cisco IOS Switch. System logging

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-IOS-Switch
Тип	IOS-Switch
Вендор	Cisco
Порт	2523
Протокол	TCP

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

2. Включите логирование попыток подключения к устройству:

   (config)# service timestamps log datetime localtime show-timezone year
   (config)# logging userinfo
   (config)# login on-failure log
   (config)# login on-success log
   

3. Включите логирование изменений конфигурации устройства:

   (config)# archive
   (config-archive)# log config
   (config-archive-log-cfg)# logging enable
   (config-archive-log-cfg)# notify syslog
   (config-archive-log-cfg)# hidekeys
   

4. Настройте отправку событий на лог-коллектор, указав IP-адрес лог-коллектора, порт, по которому лог-коллектор будет принимать события от данного источника и значение facility (по умолчанию "local5"):

   (config)# logging facility local5
   (config)# logging host <IP-адрес лог-коллектора> transport tcp port <порт лог-коллектора>   
   

5. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   tcp_input_cisco_ios_switch: & tcp_input_cisco_ios_switch
       id: "tcp_input_cisco_ios_switch"
       host: "<IP-адрес лог-коллектора>"
       port: 2523
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_cisco_ios_switch: & tcp_output_cisco_ios_switch
       id: "tcp_output_cisco_ios_switch"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2523
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       tcp_receiver:
       - <<: *tcp_input_cisco_ios_switch
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_cisco_ios_switch
   
   route_cisco_ios_switch: &route_cisco_ios_switch
       collector_id:
       - "tcp_input_cisco_ios_switch"
       sender_id:
       - "tcp_output_cisco_ios_switch"
   
   routers:
       - <<: *route_cisco_ios_switch
   

6. Перезапустите службу лог-коллектора.

7. Перейдите в раздел Администрирование → Источники → Управление источниками.
8. Включите источник Cisco-IOS-Switch.
9. Нажмите кнопку Синхронизировать.
10. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Cisco Nexus Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-Nexus-Switch
Тип	Nexus-Switch
Вендор	Cisco
Порт	2525
Протокол	TCP

Примечание: по умолчанию источник Cisco Nexus Switch не имеет возможность изменить порт и протокол отправки событий, поэтому сбор событий лог-коллектором происходит по 514/UDP, отправка от лог-коллектора в платформу по 2525/TCP.

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

2. Включите логирование и настройте отправку событий на лог-коллектор:

   switch(config)# logging message interface type ethernet description
   switch(config)# logging event link-status enable
   switch(config)# logging event trunk-status enable
   switch(config)# logging level all 6
   switch(config)# logging origin-id hostname
   switch(config)# logging server <IP-адрес лог-коллектора> 6 facility local5
   

3. Вернитесь в привилегированный режим и сохраните изменения:

   switch# copy run star
   

4. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_cisconexus_514: & udp_input_cisconexus_514
       id: "udp_input_cisconexus_514"
       host: "<IP-адрес лог-коллектора>"
       port: 514
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_cisconexus_2525: & tcp_output_cisconexus_2525
       id: "tcp_output_cisconexus_2525"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2525
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       udp_receiver:
       - <<: *udp_input_cisconexus_514
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_cisconexus_2525
   
   route_cisconexus: &route_cisconexus
       collector_id:
       - "udp_input_cisconexus_514"
       sender_id:
       - "tcp_output_cisconexus_2525"
   
   routers:
       - <<: *route_cisconexus
   

5. Перезапустите службу лог-коллектора.

6. Перейдите в раздел Администрирование → Источники → Управление источниками.
7. Включите источник Cisco-Nexus-Switch.
8. Нажмите кнопку Синхронизировать.
9. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Cisco SG200 Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-SG200-Switch
Тип	Switch
Вендор	Cisco
Порт	2522
Протокол	TCP

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс устройства.

2. Перейдите в Administration → System Log → Remote Log Servers (см. рисунок 2).

   

   Рисунок 2 -- Cisco SG200 Switch. Настройка отправки событий

3. Укажите в разделе следующую информацию:

   • в поле Log Server IP Address/Name укажите IP-адрес лог-коллектора;
   • в поле UDP Port укажите порт, по которому лог-коллектор будет принимать события от данного источника: "2522";
   • в поле Facility и выпадающего списка выберите необходимый уровень facility: "Local 5".

4. Перейдите в раздел Administration → System Log → Log Settings и задайте параметры в соответствии с рисунком 3:

   

   Рисунок 3 -- Cisco SG200 Switch. Настройка журналирования

5. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_sg200switch_2522: & udp_input_sg200switch_2522
       id: "udp_input_sg200switch_2522"
       host: "<IP-адрес лог-коллектора>"
       port: 2522
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_sg200switch_2522: & tcp_output_sg200switch_2522
       id: "tcp_output_sg200switch_2522"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2522
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       udp_receiver:
       - <<: *udp_input_sg200switch_2522
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_sg200switch_2522
   
   route_sg200switch: &route_sg200switch
       collector_id:
       - "udp_input_sg200switch_2522"
       sender_id:
       - "tcp_output_sg200switch_2522"
   
   routers:
     - <<: *route_sg200switch
   

6. Перезапустите службу лог-коллектора.

7. Перейдите в раздел Администрирование → Источники → Управление источниками.
8. Включите источник Cisco-SG200-Switch.
9. Нажмите кнопку Синхронизировать.
10. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

D-link xStack

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Dlink-xstack
Тип	Switch
Вендор	D-link
Порт	2773
Протокол	TCP

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс устройства.
2. Перейдите в раздел Administration → System Log → System Log Host.

3. Откройте System Log Server или System Log Server-Add (см. рисунок 4).

   

   Рисунок 4 -- Пример окна настройки добавления отправки событий

4. Укажите следующую информацию::

   • в поле Index установите значение "1". Если устройство уже настроено на отправку на другие серверы, то выберите свободный ключ в диапазоне от "1" до "4";
   • в поле Server IP укажите IP-адрес лог-коллектора;
   • в поле Severity из выпадающего списка выберите значение "ALL";
   • в поле Facility из выпадающего списка выберите значение "Local4 (security/authorization messages)";
   • в поле UDP Port укажите порт, по которому лог-коллектор будет принимать события от данного источника: "514";
   • в поле Status из выпадающего списка выберите значение "Enabled";
   • нажмите кнопку Apply.

5. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_dlink_xstack: & udp_input_dlink_xstack
       id: "udp_input_dlink_xstack"
       host: "<IP-адрес лог-коллектора>"
       port: 514
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_dlink_xstack: & tcp_output_dlink_xstack
       id: "tcp_output_dlink_xstack"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2773
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       udp_receiver:
       - <<: *udp_input_dlink_xstack
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_dlink_xstack
   
   route_dlink_xstack: &route_dlink_xstack
       collector_id:
       - "udp_input_dlink_xstack"
       sender_id:
       - "tcp_output_dlink_xstack"
   
   routers:
     - <<: *route_dlink_xstack
   

6. Перезапустите службу лог-коллектора.

7. Перейдите в раздел Администрирование → Источники → Управление источниками.
8. Включите источник Dlink-xstack.
9. Нажмите кнопку Синхронизировать.
10. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Eltex Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Eltex-Switch
Тип	Switch
Вендор	Eltex
Порт	2533
Протокол	TCP

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс устройства.

2. Перейдите в раздел System → Logs → Servers (см. рисунок 5).

   

   Рисунок 5 -- Веб-интерфейс устройства. Настройка журналирования

3. Нажмите кнопку Add (+). Откроется окно "Add Syslog Server" (см. рисунок 6).

   

   Рисунок 6 -- Окно "Add Syslog Server"

4. В окне выполните следующие действия:

   • в поле Server укажите IP-адрес лог-коллектора.
   • в поле UDP Port укажите порт, по которому лог-коллектор будет принимать события от данного источника: "2533".
   • в поле Facility из выпадающего списка выберите значение "Local 5".
   • в поле Minimum Severity из выпадающего списка выберите значение "Informational".
   • нажмите кнопку Submit.

5. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_eltex_switch: & udp_input_eltex_switch
       id: "udp_input_eltex_switch"
       host: "<IP-адрес лог-коллектора>"
       port: <порт для данного источника: (по умолчанию 2533)>
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_eltex_switch: & tcp_output_eltex_switch
       id: "tcp_output_eltex_switch"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: <порт для данного источника: 2533>
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       udp_receiver:
       - <<: *udp_input_eltex_switch
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_eltex_switch
   
   route_eltex_switch: &route_eltex_switch
       collector_id:
       - "udp_input_eltex_switch"
       sender_id:
       - "tcp_output_eltex_switch"
   
   routers:
       - <<: *route_eltex_switch
   

6. Перезапустите службу лог-коллектора.

7. Перейдите в раздел Администрирование → Источники → Управление источниками.
8. Включите источник Eltex-Switch.
9. Нажмите кнопку Синхронизировать.
10. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

HP Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	HP-Switch
Тип	Switch
Вендор	HP
Порт	4530
Протокол	TCP

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс устройства.
2. Перейдите в раздел Log → Setting.
3. В блоке Log to hosts укажите IP-адрес лог-коллектора и номер порта для данного источника.
4. Нажмите кнопку Сохранить и Применить.

5. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_switchhp: &udp_input_switchhp
       id: "udp_input_switchhp"
       host: "<IP-адрес лог-коллектора>"
       port: 4530
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_switchhp: &tcp_output_switchhp
       id: "tcp_output_switchhp"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 4530
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       udp_receiver:
       - <<: *udp_input_switchhp
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_switchhp
   
   route_switch_hp: &route_switch_hp
       collector_id:
       - "udp_input_switchhp"
       sender_id:
       - "tcp_output_switchhp"
   
   routers:
       - <<: *route_switch_hp
   

6. Перезапустите службу лог-коллектора.

7. Перейдите в раздел Администрирование → Источники → Управление источниками.
8. Включите источник HP-Switch.
9. Нажмите кнопку Синхронизировать.
10. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Huawei Switch

Платформа Радар поддерживает работу со следующими версиями устройства::

• Huawei S Series Switch;
• Huawei AR Series Router;
• Huawei USG Series Firewall.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Huawei-Switch
Тип	Switch
Вендор	Huawei
Порт	2531
Протокол	TCP

Для настройки источника выполните следующие действия:

1. Войдите в интерфейс командной строки (CLI) маршрутизатора Huawei серии AR, коммутатора Huawei серии S или межсетевого экрана серии USG.

2. Получите доступ к системному представлению:

   system-view
   

3. Включите информационный центр:

   info-center enable
   

4. Настройте отправку сообщений информационного уровня:

   info-center source default channel loghost log level informational debug state off trap state off
   

5. Проверьте исходную конфигурацию маршрутизатора Huawei серии AR, коммутатора Huawei серии S или межсетевого экрана серии USG:

   display channel loghost
   

6. Укажите IP-адрес лог-коллектора в качестве хоста журнала для вашего коммутатора и задайте facility:

   info-center loghost <ip-адрес лог-коллектора> facility <значение  facility> (например, local0)
   

7. Сохраните изменения и закройте интерфейс командной строки:

   quit
   

8. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_routerhuawei: & udp_input_routerhuawei
       id: "udp_input_routerhuawei"
       host: "<IP-адрес лог-коллектора>"
       port: 2531 
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_routerhuawei: & tcp_output_routerhuawei
       id: "tcp_output_routerhuawei"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2531
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       udp_receiver:
       - <<: *udp_input_routerhuawei
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_routerhuawei
   
   route_routerhuawei: &route_routerhuawei
       collector_id:
       - "udp_input_routerhuawei"
       sender_id:
       - "tcp_output_routerhuawei"
   
   routers:
     - <<: *route_routerhuawei
   

9. Перезапустите службу лог-коллектора.

10. Перейдите в раздел Администрирование → Источники → Управление источниками.
11. Включите источник Huawei-Switch.
12. Нажмите кнопку Синхронизировать.
13. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

MikroTik Router

Платформа Радар поддерживает работу со следующими версиями устройства:

• Mikrotik-hEX-S;
• Mikrotik-hAP-ac2.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Mikrotik-hEX-S Mikrotik-hAP-ac2
Тип	Switch
Вендор	Mikrotik
Порт	Mikrotik-hEX-S - 2598 Mikrotik-hAP-ac2 - 2599
Протокол	TCP

Настройку источника можно выполнить следующими способами:

• с помощью консоли устройства;
• с помощью веб-интерфейса.

Способ 1. С помощью консоли устройства:

1. Войдите в Winbox и откройте New Terminal.

2. Выполните настройку действий по ведению системного журнала:

   /system logging action 
   add bsd-syslog=yes - включение BSD Syslog
   name=syslog 
   target=remote 
   remote=<ip-адрес лог-коллектора> 
   remote-port=<порт для данного источник: 2598 или 2599>
   

3. Выполните настройку уровня детализации ведения журнала:

   /system logging 
   add action=syslog topics=info
   add action=syslog topics=critical 
   add action=syslog topics=error 
   add action=syslog topics=warning    
   

Способ 2. С помощью веб-интерфейса:

1. Войдите в Winbox и перейдите в раздел System → Logging → Action.
2. Для создания нового Action нажмите кнопку +.
3. В открывшемся окне укажите следующую информацию:
   • в поле Type из выпадающего списка выберите значение Remote;
   • в поле Remote Address: укажите IP-адрес лог-коллектора;
   • в поле Remote Port: укажите соответствующий порт для данного источника:
     • Mikrotik-hEX-S - 2598;
     • Mikrotik-hAP-ac2 - 2599.
   • установите флаг BSD Syslog;
   • нажмите кнопку Ok.
4. Перейдите на вкладку Rules и добавьте четыре топика: info, critical, error, warning.
5. Для создания топика нажмите кнопку +.
6. В открывшемся окне укажите следующую информацию:
   • в поле Topics из выпадающего списка выберите необходимый топик, например info;
   • в поле Action из выпадающего списка выберите значение syslog;
   • нажмите кнопку Ok.
7. Повторите действия 5-6 для создания всех четырех топиков.

Далее необходимо настроить лог-коллектор и включить источник в платформе:

1. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_mikrotik2598: & udp_input_mikrotik2598
     id: "udp_input_mikrotik2598"
     host: "<IP-адрес лог-коллектора>"
     port: 2598
     sock_buf_size: 0
     format: "json"
     log_level: "INFO"
   
   udp_input_mikrotik2599: & udp_input_mikrotik2599
     id: "udp_input_mikrotik2599"
     host: "<IP-адрес лог-коллектора>"
     port: 2599
     sock_buf_size: 0
     format: "json"
     log_level: "INFO"
   
   tcp_output_mikrotik2598: & tcp_output_mikrotik2598
     id: "tcp_output_mikrotik2598"
     target_host: "<IP-адрес Платформы Радар/или балансера>" 
     port: 2598
     sock_buf_size: 0
     log_level: "INFO"
   
   tcp_output_mikrotik2599: & tcp_output_mikrotik2599
     id: "tcp_output_mikrotik2599"
     target_host: "<IP-адрес Платформы Радар/или балансера>" 
     port: 2599
     sock_buf_size: 0
     log_level: "INFO"
   
   collectors:
     udp_receiver:
       - <<: *udp_input_mikrotik2598
       - <<: *udp_input_mikrotik2599
   
   senders:
     port: 48002
       tcp:
         - <<: *tcp_output_mikrotik2598
         - <<: *tcp_output_mikrotik2599
   
   route_1_mikrotik2598: &route_1_mikrotik2598
     collector_id:
     - "udp_input_mikrotik2598"
     sender_id:
     - "tcp_output_mikrotik2598"
   
   route_2_mikrotik2599: &route_1_mikrotik2599
     collector_id:
     - "udp_input_mikrotik2599"
     sender_id:
     - "tcp_output_mikrotik2599"
   
   routers:
     <<: *route_1_mikrotik2598
     <<: *route_2_mikrotik2599
   

2. Перезапустите службу лог-коллектора.

3. Перейдите в раздел Администрирование → Источники → Управление источниками.
4. Включите соответствующий источник:
   • Mikrotik-hEX-S;
   • Mikrotik-hAP-ac2.
5. Нажмите кнопку Синхронизировать.
6. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Ubiquiti Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Ubiquiti-switch
Тип	Switch
Вендор	Ubiquiti
Порт	2557
Протокол	TCP

Настройку источника можно выполнить следующими способами:

• с помощью консоли устройства;
• с помощью веб-интерфейса.

Способ 1. С помощью консоли устройства:

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

1. Включите журналирование и настройте подключение к лог-коллектору:

   (config)# logging syslog
   (config)# logging host <IP-адрес лог-коллектора> ipv4 2557 6
   

   Где:

   • <IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
   • 2557 - порт, по которому лог-коллектор будет принимать события от данного источника;
   • 6 - необходимый уровень severity.

2. Проверьте подключение к лог-коллектору:

   (config)# show logging hosts
   

   Пример ответа:

   Index  IP Address/Hostname        Severity   Port   Status
   ----- -------------------------- --------- ------ ----------
   1     <IP-адрес лог-коллектора>    info      2557   Active
   

3. Проверьте настройки:

   (config)# show logging
   

   Пример ответа:

   Logging Client Local Port           : 2557  
   Logging Client Source Interface     : (not configured)
   CLI Command Logging                 : enabled
   Console Logging                     : enabled
   Console Logging Severity Filter     : info
   Buffered Logging                    : enabled
   Buffered Logging Severity Filter    : info
   Persistent Logging                  : disabled
   Persistent Logging Severity Filter  : alert
   Syslog Logging                      : enabled
   

Способ 2. С помощью веб-интерфейса:

1. Войдите в веб-интерфейс устройства.
2. Перейдите в раздел System → Logs → Configuration.

3. Укажите в разделе следующие настройки:

   Log Configuration 
   
   Buffered Log Configuration
   Admin Mode   Enable  
   Behavior     Wrap 
   
   Command Logger Configuration
   Admin Mode   Enable
   
   Console Log Configuration
   Admin Mode   Enable  
   Severity Filter  Info
   
   Persistent Log Configuration
   Admin Mode   Disable
   Severity Filter  Alert
   
   Syslog Configuration
   Admin Mode   Enable  
   Local UDP Port  2557 (1 to 65535) (по умолчанию 514)
   

4. Сохраните изменения.

Далее необходимо настроить лог-коллектор и включить источник в платформе:

1. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   udp_input_ubiquiti_switch: & udp_input_ubiquiti_switch
       id: "udp_input_cisco_aironet"
       host: "<IP-адрес лог-коллектора>"
       port: 2557
       sock_buf_size: 0
       format: "json"
       log_level: "INFO"
   
   tcp_output_ubiquiti_switch: & tcp_output_ubiquiti_switch
       id: "tcp_output_ubiquiti_switch"
       target_host: "<IP-адрес Платформы Радар/или балансера>" 
       port: 2557
       sock_buf_size: 0
       log_level: "INFO"
   
   collectors:
       udp_receiver:
       - <<: *udp_input_ubiquiti_switch
   
   senders:
     port: 48002
       tcp:
       - <<: *tcp_output_ubiquiti_switch
   
   route_ubiquiti_switch: &route_ubiquiti_switch
       collector_id:
       - "udp_input_ubiquiti_switcht"
       sender_id:
       - "tcp_output_ubiquiti_switch"
   
   routers:
       - <<: *route_ubiquiti_switch
   

2. Перезапустите службу лог-коллектора.

3. Перейдите в раздел Администрирование → Источники → Управление источниками.
4. Включите источник Ubiquiti-switch.
5. Нажмите кнопку Синхронизировать.
6. Перейдите в раздел События и проверьте наличие потока событий от данного источника.