Сетевые устройства.

Cisco IOS. System logging.

Настройка источника

Подключиться к консоли устройства;
Для включения логирования всех попыток подключения к устройству, введите команды:

(config)# service timestamps log datetime localtime show-timezone year

(config)# logging userinfo

(config)# login on-failure log

(config)# login on-success log
Для включения логирования изменений конфигурации, введите команды:

(config)# archive

(config-archive)# log config

(config-archive-log-cfg)# logging enable

(config-archive-log-cfg)# notify syslog

(config-archive-log-cfg)# hidekeys
Для отправки событий на коллектор, введите команды:

(config)# logging facility local5

(config)# logging host <IP-адрес коллектора> transport tcp port <порт коллектора> (порт по умолчанию 2523)

Включение источника на Платформе Радар

Включение источника на Платформе Радар представлено в разделе Управление источниками в Платформе, Включение/выключение поддерживаемых источников и их синхронизация

Зайти в веб-консоль Платформы Радар, перейти в раздел «Источники», «Управление источниками»;
Найти в списке доступных источников (Cisco-IOSswitch) и включить его;
Кликнуть на кнопку «Синхронизировать».

Настройка коллектора событий

Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора

В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента TCP.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент TCP

Основные параметры, которые необходимо указать:

target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы Радар)

port: <"порт"> (стандартный порт для данного источника 2523)
После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output).

В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP

Основные параметры, которые необходимо указать:

target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы Радар)

port: <"порт"> (стандартный порт для данного источника 2523)
Далее необходимо включить компоненты сбора (collectors) и отправки (senders).

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Включение компонентов

Основные параметры, которые нужно указать при включении компонентов сбора:

collectors:

tcp_receiver:

- <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

Основные параметры, которые нужно указать при включении компонентов отправки:

senders:

tcp:

- <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)
После чего необходимо произвести настройку маршрутизации событий.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Маршрутизация событий

Основные параметры, которые нужно указать при настройке маршрута:

route_1: &route_1

collector_id:

- <"id компонента сбора">

sender_id:

- <"id компонента отправки">
После нужно включить маршрут в разделе routers. Пример включения маршрута:

routers:

- <<: *<название маршрута> (например - <<: *route_1)

Cisco IOS. Netflow v5.

Настройка источника

Подключиться к консоли устройства;
Для включения экспорта статистики сетевого трафика по протоколу NetFlow введите команды:

(config)# ip-flow-export destination <IP-адрес коллектора> <порт коллектора> (по умолчанию 2162)

(config)# ip flow-export version 5

(config)# interface <интерфейс, с которого необходимо собирать статистику>

(config)# ip flow ingress

(config)# ip flow egress

Включение источника в Платформе Радар

Включение источника в Платформе Радар представлено в разделе Управление источниками в Платформе, Включение/выключение поддерживаемых источников и их синхронизация

Зайти в веб-консоль Платформы Радар, перейти в раздел «Источники», «Управление источниками»;
Найти в списке доступных источников (Cisco-NetFlow) и включить его;
Кликнуть на кнопку «Синхронизировать».

Настройка коллектора событий

Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора

В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента NetFlow.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент NetFlow

Основные параметры, которые необходимо указать:

host: "<ip адрес лог-коллектора>" (адрес на котором запущен коллектор)

port: <порт для приема соединений> (порт, на который будут приниматься события, если при настройке источника оставили стандартный - 2162)
После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output).

В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP

Основные параметры, которые необходимо указать:

target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы Радар)

port: <"порт"> (стандартный порт для данного источника 2162)
Далее необходимо включить компоненты сбора (collectors) и отправки (senders).

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Включение компонентов

Основные параметры, которые нужно указать при включении компонентов сбора:

collectors:

nf_receiver:

- <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

Основные параметры, которые нужно указать при включении компонентов отправки:

senders:

tcp:

- <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)
После чего необходимо произвести настройку маршрутизации событий.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Маршрутизация событий

Основные параметры, которые нужно указать при настройке маршрута:

route_1: &route_1

collector_id:

- <"id компонента сбора">

sender_id:

- <"id компонента отправки">
После нужно включить маршрут в разделе routers. Пример включения маршрута:

routers:

- <<: *<название маршрута> (например - <<: *route_1)

D-link xStack

Для настройки D-link xStack на отправку событий в Платформу Радар выполните следующие шаги:

В веб-интерфейсе (Web-based User Interface) D-link Nexus перейдите по пути:

Administration > System Log > System Log Host
Откройте System Log Server или System Log Server-Add
Установите следующие значения в каждом поле (см. рисунок 1):
- В поле Index установите значение 1. Если устройство уже настроено на отправку на другие серверы, то выберите свободный ключ в диапазоне (1-4).
- В поле Server IP укажите
- В поле Severity установите значение ALL
- В поле Facility установите значение 4 (security/authorization messages)
- В поле UDP Port укажите <номер-порта> (по умолчанию 514)
- В поле Status установите Enabled
- Нажмите кнопку Apply
Рисунок 1 -- Пример окна настройки добавления отправки событий.

В конфигурационном файле лог-коллектора добвьте настройку для получения событий от источника и отправки их в Платформу Радар

##################################################################
            Часть настройки лог-коллектора
##################################################################
#  Так как в 3м пункте был выбран шаблон отправки по UDP, поэтому настройка на лог-коллекторе соответствует протоколу UDP

udp_input: & udp_input
    id: "udp_input"
  host: "0.0.0.0"
    port: 514
    sock_buf_size: 0
  format: "json"
    log_level: "INFO"

    tcp_output: &  tcp_output
  id: "tcp_output"
    target_host: "<ip адрес Платформы Радар>" 
  port: 2773
    sock_buf_size: 0
    log_level: "INFO"

collectors:
    udp_receiver:
    - <<: *udp_input

senders:
  port: 48002
    tcp:
    - <<: *tcp_output

route_1: &route_1
    collector_id:
    - "udp_input"
    sender_id:
    - "tcp_output"
routers:
  - <<: *route_1

В Платформе Радар включите «Тип Источника» «Dlink xStack» и нажмите кнопку «Синхронизировать»
Проверьте приходящие события в Платформе Радар.

Коммутаторы Huawei

В разделе описана настройка источников Huawei S Series Switch , Huawei AR Series Router, Huawei USG Series Firewall.

Для настройки выполните шаги:

Войдите в интерфейс командной строки (CLI) маршрутизатора Huawei серии AR, коммутатора Huawei серии S или межсетевого экрана серии USG.
Введите команду для доступа к системному представлению:

system-view
Введите команду, чтобы включить информационный центр:

info-center enable
Введите команду для отправки сообщений информационного уровня на канал по умолчанию:

info-center source default channel loghost log level informational debug state off trap state off
Проверьте исходную конфигурацию маршрутизатора Huawei серии AR, коммутатора Huawei серии S или межсетевого экрана серии USG, введите команду:

display channel loghost
Введите команду, чтобы настроить IP-адрес лог-коллектора в качестве хоста журнала для вашего коммутатора:

info-center loghost <IP-address log-collector> facility <local>

Где:
<IP-адрес> — это IP-адрес лог-коллектора
<local> — средство системного журнала, например, local0

Например,

info-center loghost <IP-address log-collector> facility local0
Введите команду, чтобы выйти из конфигурации:

quit