Сетевые устройства

При работе по подключению сетевых устройств в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Управление источниками в Платформе;
• Руководство по настройке лог-коллектора.

Cisco Aironet 4404 Wireless LAN Controller

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-Aironet
Номер (Порт)	2526
Вендор	Cisco
Тип	Switch
Профиль сбора	udp_input

Настройку источника можно выполнить следующими способами:

• с помощью консоли устройства;
• с помощью веб-интерфейса.

Способ 1. С помощью консоли устройства:

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

1. Включите журналирование событий:

   (config)# logging on
   

2. Установите необходимый уровень facility (по умолчанию local7):

   (config)# logging <facility>
   

3. Укажите IP-адрес агента сбора лог-коллектора:

   (config)# logging <IP-адрес агента сбора лог-коллектора>
   

4. Включите запись временных меток при журналировании событий:

   (config)# service timestamp log datatime
   

5. Сохраните изменения:

   (config)# copy running-config startup-config
   

Способ 2. С помощью веб-интерфейса:

1. Войдите в веб-интерфейс устройства.

2. Перейдите в раздел Management → Logs → Configs (см. рисунок 1).

   

   Рисунок 1 -- Cisco Aironet. Настройка журналирования

3. Укажите в разделе следующую информацию:

   • в поле Syslog Server IP Addres укажите IP-адрес агента сбора лог-коллектора и нажмите кнопку Add;
   • в поле Syslog Level из выпадающего списка выберите уровень журналирования;
   • в поле Facility и выпадающего списка выберите необходимый уровень facility.
   • нажмите кнопку Apply.
4. Нажмите кнопку Save Configuration.

Далее необходимо включить источник Cisco-Aironet.

Cisco IOS. Netflow

Платформа Радар поддерживает работу с устройствами Cisco, работающими по следующим версиям протокола Netflow:

• v5;
• v9.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-NetFlow
Номер (Порт)	2162
Вендор	Cisco
Тип	NetFlow
Профиль сбора	netflow (nf_input)

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

2. Включите экспорт статистики сетевого трафика:

   (config)# ip-flow-export destination <IP-адрес агента сбора лог-коллектора> <порт, указанный в профиле сбора>
   (config)# ip flow-export version <версия протокола> (допустимые значения: 5 или 9) 
   (config)# interface <интерфейс, с которого необходимо собирать статистику>
   (config)# ip flow ingress
   (config)# ip flow egress
   

3. Включите источник Cisco-NetFlow.

Cisco IOS Router. System logging

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-IOSRouter
Номер (Порт)	2524
Вендор	Cisco
Тип	IOSRouter
Профиль сбора	tcp_input

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

2. Включите логирование попыток подключения к устройству:

   (config)# service timestamps log datetime localtime show-timezone year
   (config)# logging userinfo
   (config)# login on-failure log
   (config)# login on-success log
   

3. Включите логирование изменений конфигурации устройства:

   (config)# archive
   (config-archive)# log config
   (config-archive-log-cfg)# logging enable
   (config-archive-log-cfg)# notify syslog
   (config-archive-log-cfg)# hidekeys
   

4. Настройте отправку событий на агент сбора лог-коллектора, указав его IP-адрес, порт, указанный в настройках соответствующего профиля сбора и значение facility (по умолчанию local5):

   (config)# logging facility local5
   (config)# logging host <IP-адрес агента сбора лог-коллектора> transport tcp port <порт, указанный в профиле сбора> 
   

5. Включите источник Cisco-IOSRouter.

Cisco IOS Switch. System logging

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-IOS-Switch
Номер (Порт)	2523
Вендор	Cisco
Тип	IOS-Switch
Профиль сбора	tcp_input

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

2. Включите логирование попыток подключения к устройству:

   (config)# service timestamps log datetime localtime show-timezone year
   (config)# logging userinfo
   (config)# login on-failure log
   (config)# login on-success log
   

3. Включите логирование изменений конфигурации устройства:

   (config)# archive
   (config-archive)# log config
   (config-archive-log-cfg)# logging enable
   (config-archive-log-cfg)# notify syslog
   (config-archive-log-cfg)# hidekeys
   

4. Настройте отправку событий на агент сбора лог-коллектора, указав его IP-адрес, порт, указанный в настройках соответствующего профиля сбора и значение facility (по умолчанию "local5"):

   (config)# logging facility local5
   (config)# logging host <IP-адрес агента сбора лог-коллектора> transport tcp port <порт, указанный в профиле сбора>  
   

5. Включите источник Cisco-IOS-Switch.

Cisco Nexus Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-Nexus-Switch
Номер (Порт)	2525
Вендор	Cisco
Тип	Nexus-Switch
Профиль сбора	udp_input

Примечание: по умолчанию источник Cisco Nexus Switch не имеет возможности изменить порт и протокол отправки событий, поэтому сбор событий агентом сбора лог-коллектора происходит по 514/UDP.

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

2. Включите логирование и настройте отправку событий на агент сбора лог-коллектора:

   switch(config)# logging message interface type ethernet description
   switch(config)# logging event link-status enable
   switch(config)# logging event trunk-status enable
   switch(config)# logging level all 6
   switch(config)# logging origin-id hostname
   switch(config)# logging server <IP-адрес агента сбора лог-коллектора> 6 facility local5
   

3. Вернитесь в привилегированный режим и сохраните изменения:

   switch# copy run star
   

4. Включите источник Cisco-Nexus-Switch.

Cisco SG200 Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-SG200-Switch
Номер (Порт)	2522
Вендор	Cisco
Тип	Switch
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс устройства.

2. Перейдите в Administration → System Log → Remote Log Servers (см. рисунок 2).

   

   Рисунок 2 -- Cisco SG200 Switch. Настройка отправки событий

3. Укажите в разделе следующую информацию:

   • в поле Log Server IP Address/Name укажите IP-адрес агента сбора лог-коллектора;
   • в поле UDP Port укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • в поле Facility и выпадающего списка выберите необходимый уровень facility: "Local 5".

4. Перейдите в раздел Administration → System Log → Log Settings и задайте параметры в соответствии с рисунком 3:

   

   Рисунок 3 -- Cisco SG200 Switch. Настройка журналирования

5. Включите источник Cisco-SG200-Switch.

D-link xStack

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Dlink-xstack
Номер (Порт)	2773
Вендор	D-link
Тип	Switch
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс устройства.
2. Перейдите в раздел Administration → System Log → System Log Host.

3. Откройте System Log Server или System Log Server-Add (см. рисунок 4).

   

   Рисунок 4 -- Пример окна настройки добавления отправки событий

4. Укажите следующую информацию:

   • в поле Index установите значение "1". Если устройство уже настроено на отправку на другие серверы, то выберите свободный ключ в диапазоне от "1" до "4";
   • в поле Server IP укажите IP-адрес агента сбора лог-коллектора;
   • в поле Severity из выпадающего списка выберите значение "ALL";
   • в поле Facility из выпадающего списка выберите значение "Local4 (security/authorization messages)";
   • в поле UDP Port укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • в поле Status из выпадающего списка выберите значение "Enabled";
   • нажмите кнопку Apply.

5. Включите источник Dlink-xstack.

Eltex Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Eltex-Switch
Номер (Порт)	2533
Вендор	Eltex
Тип	Switch
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс устройства.

2. Перейдите в раздел System → Logs → Servers (см. рисунок 5).

   

   Рисунок 5 -- Веб-интерфейс устройства. Настройка журналирования

3. Нажмите кнопку Add (+). Откроется окно "Add Syslog Server" (см. рисунок 6).

   

   Рисунок 6 -- Окно "Add Syslog Server"

4. В окне выполните следующие действия:

   • в поле Server укажите IP-адрес агента сбора лог-коллектора.
   • в поле UDP Port укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • в поле Facility из выпадающего списка выберите значение "Local 5".
   • в поле Minimum Severity из выпадающего списка выберите значение "Informational".
   • нажмите кнопку Submit.

5. Включите источник Eltex-Switch.

HP Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	HP-Switch
Номер (Порт)	4530
Вендор	HP
Тип	Switch
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс устройства.
2. Перейдите в раздел Log → Setting.
3. В блоке Log to hosts укажите IP-адрес агента сбора лог-коллектора и порт (должен совпадать со значением, указанным в настройках соответствующего профиля сбора).
4. Нажмите кнопку Сохранить и Применить.
5. Включите источник HP-Switch.

Huawei Switch

Платформа Радар поддерживает работу со следующими версиями устройства:

• Huawei S Series Switch;
• Huawei AR Series Router;
• Huawei USG Series Firewall.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Huawei-Switch
Номер (Порт)	2531
Вендор	Huawei
Тип	Switch
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Войдите в интерфейс командной строки (CLI) маршрутизатора Huawei серии AR, коммутатора Huawei серии S или межсетевого экрана серии USG.

2. Получите доступ к системному представлению:

   system-view
   

3. Включите информационный центр:

   info-center enable
   

4. Настройте отправку сообщений информационного уровня:

   info-center source default channel loghost log level informational debug state off trap state off
   

5. Проверьте исходную конфигурацию маршрутизатора Huawei серии AR, коммутатора Huawei серии S или межсетевого экрана серии USG:

   display channel loghost
   

6. Укажите IP-адрес агента сбора лог-коллектора в качестве хоста журнала для вашего коммутатора и задайте facility:

   info-center loghost <ip-адрес агента сбора лог-коллектора> facility <значение  facility> (например, local0)
   

7. Сохраните изменения и закройте интерфейс командной строки:

   quit
   

8. Включите источник Huawei-Switch.

MikroTik Router

Платформа Радар поддерживает работу со следующими версиями устройства:

• Mikrotik-hEX-S;
• Mikrotik-hAP-ac2.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Mikrotik-hEX-S Mikrotik-hAP-ac2
Номер (Порт)	Mikrotik-hEX-S - 2598 Mikrotik-hAP-ac2 - 2599
Вендор	Mikrotik
Тип	Switch
Профиль сбора	udp_input

Настройку источника можно выполнить следующими способами:

• с помощью консоли устройства;
• с помощью веб-интерфейса.

Способ 1. С помощью консоли устройства:

1. Войдите в Winbox и откройте New Terminal.

2. Выполните настройку действий по ведению системного журнала:

   /system logging action 
   add bsd-syslog=yes - включение BSD Syslog
   name=syslog 
   target=remote 
   remote=<ip-адрес агента сбора лог-коллектора> 
   remote-port=<порт, указанный в соответствующем профиле сбора>
   

3. Выполните настройку уровня детализации ведения журнала:

   /system logging 
   add action=syslog topics=info
   add action=syslog topics=critical 
   add action=syslog topics=error 
   add action=syslog topics=warning    
   

Способ 2. С помощью веб-интерфейса:

1. Войдите в Winbox и перейдите в раздел System → Logging → Action.
2. Для создания нового Action нажмите кнопку +.
3. В открывшемся окне укажите следующую информацию:
   • в поле Type из выпадающего списка выберите значение Remote;
   • в поле Remote Address: укажите IP-адрес агента сбора лог-коллектора;
   • в поле Remote Port: укажите порт, указанный в соответствующем профиле сбора;
   • установите флаг BSD Syslog;
   • нажмите кнопку Ok.
4. Перейдите на вкладку Rules и добавьте четыре топика: info, critical, error, warning.
5. Для создания топика нажмите кнопку +.
6. В открывшемся окне укажите следующую информацию:
   • в поле Topics из выпадающего списка выберите необходимый топик, например info;
   • в поле Action из выпадающего списка выберите значение syslog;
   • нажмите кнопку Ok.
7. Повторите действия 5-6 для создания всех четырех топиков.

Далее необходимо включить соответствующий источник:

• Mikrotik-hEX-S;
• Mikrotik-hAP-ac2.

Ubiquiti Switch

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Ubiquiti-switch
Номер (Порт)	2557
Вендор	Ubiquiti
Тип	Switch
Профиль сбора	udp_input

Настройку источника можно выполнить следующими способами:

• с помощью консоли устройства;
• с помощью веб-интерфейса.

Способ 1. С помощью консоли устройства:

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

1. Включите журналирование и настройте подключение к агенту сбора лог-коллектора:

   (config)# logging syslog
   (config)# logging host <IP-адрес агента сбора лог-коллектора> ipv4 port 6
   

   Где:

   • <IP-адрес агента сбора лог-коллектора> - IP-адрес агента сбора лог-коллектора;
   • port - порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • 6 - необходимый уровень severity.

2. Проверьте подключение к агенту сбора лог-коллектора:

   (config)# show logging hosts
   

   Пример ответа:

   Index  IP Address/Hostname        Severity   Port   Status
   ----- -------------------------- --------- ------ ----------
   1     <IP-адрес агента сбора>     info      2557   Active
   

3. Проверьте настройки:

   (config)# show logging
   

   Пример ответа:

   Logging Client Local Port           : 2557  
   Logging Client Source Interface     : (not configured)
   CLI Command Logging                 : enabled
   Console Logging                     : enabled
   Console Logging Severity Filter     : info
   Buffered Logging                    : enabled
   Buffered Logging Severity Filter    : info
   Persistent Logging                  : disabled
   Persistent Logging Severity Filter  : alert
   Syslog Logging                      : enabled
   

Способ 2. С помощью веб-интерфейса:

1. Войдите в веб-интерфейс устройства.
2. Перейдите в раздел System → Logs → Configuration.

3. Укажите в разделе следующие настройки:

   Log Configuration 
   
   Buffered Log Configuration
   Admin Mode   Enable  
   Behavior     Wrap 
   
   Command Logger Configuration
   Admin Mode   Enable
   
   Console Log Configuration
   Admin Mode   Enable  
   Severity Filter  Info
   
   Persistent Log Configuration
   Admin Mode   Disable
   Severity Filter  Alert
   
   Syslog Configuration
   Admin Mode   Enable  
   Local UDP Port  port (1 to 65535) 
   

4. Сохраните изменения.

Далее необходимо включить источник Ubiquiti-switch.