Перейти к содержанию

Решения Network Security

При работе по подключению решений Network Security в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

Межсетевой экран Cisco ASA

Характеристики источника в Платформе Радар:

Характеристика Значение
Название Cisco-ASA
Тип ASA
Вендор Cisco
Порт 2520
Протокол TCP

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

  1. Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.
  2. Включите журналированиt и экспорт событий с устройства:

    (config)# logging enable
    (config)# logging host <имя интерфейса> <IP-адрес коллектора>
    (config)# logging trap <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)
    (config)# logging console <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)
    (config)# logging asdm <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)
    (config)# logging device-id ipaddress <id устройства>
    (config)# logging timestamp
    
  3. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

    udp_input_asa: & udp_input_asa
        id: "udp_input_asa"
        host: "<ip-адрес лог-коллектора>"
        port: 2520
        sock_buf_size: 0
        format: "json"
        log_level: "INFO"
    
    tcp_output_asa: & tcp_output_asa
        id: "tcp_output_asa"
        target_host: "<ip адрес Платформы Радар/или балансера>" 
        port: 2520
        sock_buf_size: 0
        log_level: "INFO"
    
    collectors:
        udp_receiver:
        - <<: *udp_input_asa
    
    senders:
      port: 48002
        tcp:
        - <<: *tcp_output_asa
    
    route_asa: &route_asa
        collector_id:
        - "udp_input_asa"
        sender_id:
        - "tcp_output_asa"
    
    routers:
        - <<: *route_asa
    
  4. Перезапустите службу лог-коллектора.

  5. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  6. Включите источник Cisco-ASA.
  7. Нажмите кнопку Синхронизировать.
  8. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

McAfee Web Gateway

Характеристики источника в Платформе Радар:

Характеристика Значение
Название McAfee-Web-Gateway
Тип Proxy
Вендор McAfee
Порт 2610
Протокол TCP

Для настройки источника выполните следующие действия:

  1. Войдите в интерфейс системы под учетной записью с правами администратора.
  2. Перейдите в раздел Policy, затем выберите вкладку «Rule Sets» и пункт меню «Log Handler» (см. рисунок 1).

    Выбор логов

    Рисунок 1 -- Выбор логов.

  3. Раскройте список «Default», выберите «Access Log», в правой части окна выделите правило и нажмите кнопку Edit.

  4. В секции «Events» нажмите кнопку Add, а затем Event.
  5. Выберите «Syslog (Number, String)» и нажмите кнопку Parameters.
  6. Для параметра «1. Level (Number)» установите значение 6, что указывает на уровень логирования «Informational». Для настройки параметра «2. Message (String)» нажмите Use Property и выберите «User-Defined.logLine».
  7. Нажмите последовательно кнопки OKOKFinish.
  8. Повторите действия п.п. 3-7 для других наборов правил.
  9. Перейдите в раздел Configuration и выберите вкладку «File Editor».
  10. Разверните список с именем соответствующего устройства и выберите файл rsyslog.conf (см. рисунок 2).

    Редактирование rsyslog.sys

    Рисунок 2 -- Редактирование rsyslog.sys

  11. Найдите в файле следующую строку:

    *.info;mail.none;authpriv.none;cron.none  /var/log/messages
    

    Добавьте в нее параметр «daemon.!=info»:

    *.info;daemon.!=info;mail.none;authpriv.none;cron.none  -/var/log/messages
    

    Также добавьте следующую строку для отправки событий на лог-коллектор (@ - отправка по протоколу UDP, @@ - отправка по протоколу TCP):

    daemon.info @<ip-адрес лог-коллектора>:<порт лог-коллектора>
    
  12. Нажмите кнопку Save Changes для сохранения изменений.

  13. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

    udp_input_mcafee_wg: & udp_input_mcafee_wg
        id: "udp_input_mcafee_wg"
        host: "<ip-адрес лог-коллектора>"
        port: 2610
        sock_buf_size: 0
        format: "json"
        log_level: "INFO"
    
    tcp_output_mcafee_wg: & tcp_output_mcafee_wg
        id: "tcp_output_mcafee_wg"
        target_host: "<ip адрес Платформы Радар/или балансера>" 
        port: 2610
        sock_buf_size: 0
        log_level: "INFO"
    
    collectors:
        udp_receiver:
        - <<: *udp_input_mcafee_wg
    
    senders:
      port: 48002
        tcp:
        - <<: *tcp_output_mcafee_wg
    
    route_mcafee_wg: &route_mcafee_wg
        collector_id:
        - "udp_input_mcafee_wg"
        sender_id:
        - "tcp_output_mcafee_wg"
    
    routers:
        - <<: *route_mcafee_wg
    
  14. Перезапустите службу лог-коллектора.

  15. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  16. Включите источник McAfee-Web-Gateway.
  17. Нажмите кнопку Синхронизировать.
  18. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

CryptoPro VPNGate Ngate

Характеристики источника в Платформе Радар:

Характеристика Значение
Название CryptoPro-VPNGate-Ngate
Тип VPNGate
Вендор CryptoPro
Порт 2562
Протокол TCP

Для настройки источника выполните следующие действия:

  1. Настройте отправку журналов с помощью rsyslog:

    • перейдите в директорию /etc/rsyslog.d/;
    • откройте файл конфигурации 50-ng-manual-fwd.conf;
    • закомментируйте содержимое и вставьте следующую информацию:

      module(load="imfile" PollingInterval="10")
      input(type="imfile"
            reopenOnTruncate="on"
            File="/var/log/ngate/ng-admin/ng-admin.log"
            Tag="ng-admin")
      if $syslogtag == 'ng-admin' then @IP:PORT
      & stop
      
    • перезапустите службу rsyslog.

  2. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

    # = nGate =
    udp_input_nGate: & udp_input_nGate
        id: "udp_input_nGate"
        host: "<ip-адрес лог-коллектора>"
        port: 2562
        sock_buf_size: 0
        format: "json"
        log_level: "INFO"
    
    tcp_output_nGate: & tcp_output_nGate
        id: "tcp_output_nGate"
        target_host: "<ip адрес Платформы Радар/или балансера>" 
        port: 2562
        sock_buf_size: 0
        log_level: "INFO"
    
    collectors:
        udp_receiver:
        - <<: *udp_input_nGate
    
    senders:
      port: 48002
        tcp:
        - <<: *tcp_output_nGate
    
    route_nGate: &route_nGate
        collector_id:
        - "udp_input_nGate"
        sender_id:
        - "tcp_output_nGate"
    
    routers:
        - <<: *route_nGate
    
  3. Перезапустите службу лог-коллектора.

  4. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  5. Включите источник CryptoPro-VPNGate-Ngate.
  6. Нажмите кнопку Синхронизировать.
  7. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

pfSense Firewall

Настройка подключения источника Pfsense

Для настройки отправки событий в Платформу Радар от pfSense Firewall перейдите в веб-интерфейс pfSense по адресу Status > System Logs > Settings.

Прокрутите страницу вниз до Remote Logging Options.

Выполните настройку (см. рисунок 3):

  1. Включить настройку отправки логов.
  2. Выбрать источник.
  3. Выбрать протокол.
  4. Указать адрес хоста, на который будут отправляться логи. IP:PORT.
  5. Выбрать, какие логи необходимо отправлять.
  6. Сохранить настройки.

Настройка pfSense

Рисунок 3 -- Настройка pfSense.

Настройки конфигурации log-collectora

# = pFsense =
udp_input_515: &udp_input_515
  id: "udp_input_515"
  host: "172.30.254.166"
  port: 515
  sock_buf_size: 0
  format: "json"

tcp_output_2561: &tcp_output_2561
  id: "tcp_output_2561"
  target_host: "172.30.254.67"
  port: 2561

#=====
senders:
  port: 48002
  log_level: "INFO"
  tcp:
    - <<: *tcp_output_2561
collectors:
  log_level: "INFO"
  udp_receiver:
    - <<: *udp_input_515
#====
route_1: &route_1
  collector_id:
    - "udp_input_515"
  sender_id:
    - "tcp_output_2561"
#====
routers:
  - <<: *route_1

Usergate UTM Firewall

Подключение UserGate UTM Firewall в качестве источника событий для Платформы Радар

  1. В Web-интерфейсе UserGate UTM перейдите в раздел «Настройки» и выберите пункт «Журналы и отчеты» (см. рисунок 4)

    Настройка Usergate

    Рисунок 4 -- Настройка Usergate.

  2. Выберите пункт «Экспорт журналов» и нажмите кнопку «Добавить» (см. рисунок 5)

    Добавление экспорта журнала

    Рисунок 5 -- Добавление экспорта журнала.

  3. В меню «Свойства правила экспорта журналов» (см. рисунок 6) выполните нижеуказанные действия:

    • Во вкладке «Общие» (все отдельные слова в названии необходимо писать через нижнее подчеркивание «_»):

      • Установить чекбокс в стоке «Включено»;
      • Заполнить строку «Название».

    Свойства правила экспорта журналов

    Рисунок 6 -- Свойства правила экспорта журналов.

    • Во вкладке «Удаленный сервер» (см. рисунок 7):

      • в графе «Тип сервера» установить значение «Syslog»;
      • в графе «адрес сервера» укать ip-адрес лог-коллектора;
      • указать порт для отправки событий;
      • в графе «Транспорт» установить значение «UDP»;
      • в графе «Протокол» установить значение «Syslog (RFC 5424)»;
      • в графе «Критичность» установить значение «Уведомительная»;
      • в графе «Объект» установить значение «Сообщения пользовательские»;
      • графы «Имя хоста» и «Название приложения» указать без пробелов.

    По-умолчанию Платформой Радар для источника UserGate UTM выделен порт 2545

    Свойства удаленного сервера

    Рисунок 7 -- Свойства удаленного сервера.

    • Во вкладке «Журналы для экспорта» (см. рисунок 8) установите чекбоксы напротив журналов:

      • журнал событий;
      • журнал СОВ;
      • журнал трафика;
      • журнал веб-доступа;
      • выставить для всех журналов формат «JSON»;
      • нажать кнопку «Сохранить».

    Выбор журналов для экспорта

    Рисунок 8 -- Выбор журналов для экспорта.

Citrix ADC (Netscaler)

Данное руководство описывает механизм сбора событий Citrix ADC (Netscaler) и отправки их в Платформу Радар. Для настройки сбора событий выполните шаги:

  1. Войдите Web-интерфейс Citrix ADC (см. рисунок 9).

    Вход в Web-интерфейс Citrix ADC

    Рисунок 9 -- Вход в Web-интерфейс Citrix ADC.

  2. Перейдите в раздел Configuration > System > Auditing > Syslog (см. рисунок 10).

    Переход к логгированию

    Рисунок 10 -- Переход к логгированию.

  3. Откройте вкладку Servers.

  4. Нажмите кнопку Add.
  5. На странице Create Auditing Server заполните необходимые поля, все (см. рисунок 11). Не забудьте указать актуальный адрес лог коллектора и выбранный порт.

    Создание аудита

    Рисунок 11 -- Создание аудита.

  6. Нажмите кнопку Create.

  7. Создайте syslog policy. Для этого перейдите на вкладку Policies и нажмите кнопку Add.
  8. На странице Create Auditing Syslog Policy заполните поля (см. рисунок 12).

    Заполнение полей аудита

    Рисунок 12 -- Заполнение полей аудита.

    Введите название политики и выберите syslog сервер, который был добавлен ранее (п.п. 3-6)

  9. Нажмите кнопку Create.

Настройка источника на этом закончена. Более детальную информацию о параметрах, а также о способе настройки источника с помощью командной строки, можно прочитать в документации на сайте вендора.

Мы рекомендуем настраивать источник через web-интерфейс и использовать указанные параметры конфигурации. При конфигурировании через командную сроку используйте точно такие же параметры. Изменение любого из них может повлиять на корректность работы правил разбора в Платформе Радар.

Пример конфигурационного файла лог коллектора:

cluster:
  url: "https://адрес_сервера"
  api_key: "api_key"
controller:
  port: 48000
metric_server:
  port: 48005
secret_file: "/opt/pangeoradar/configs/logcollector/secret"
secret_storage: "/opt/pangeoradar/configs/logcollector/secret_storage"
api_server:
  address: "server ip or address"
  port: 8001
  read_timeout: 60
  write_timeout: 60
  wait: 5
  enable_tls: true
  cert_file: "/opt/pangeoradar/certs/agent.crt"
  key_file: "/opt/pangeoradar/certs/agent.key"
  cert_key_pass: ""
  require_client_cert: false
  ca_file: "/opt/pangeoradar/certs/pgr.crt"
  log_level: "INFO"

journal:
  port: 48004
  log_level: "INFO"
  log_path: "/var/log/logcollector/journal.log"
  rotation_size: 30
  max_backups: 7
  max_age: 7

tcp_input_citrix_adc: &tcp_input_citrix_adc
  id: "tcp_input_citrix_adc"
  host: "172.30.250.32"
  port: 2871 # Здесь можно указать любой незанятый порт, не забудьте указать его же в конфигурации источника
  enable_tls: false
  compression_enabled: false
  connections_limit: 10
  format: "json"
  log_level: "INFO"

tcp_output_citrix_adc: &tcp_output_citrix_adc
  id: "tcp_output_citrix_adc"
  target_host: "172.30.254.68"
  port: 2870

senders:
  port: 48001
  tcp:
    - <<: *tcp_output_citrix_adc

collectors:
  log_level: "INFO"
  tcp_receiver:
    - <<: *tcp_input_citrix_adc

route_citrix_adc: &route_citrix_adc
  collector_id:
    - "tcp_input_citrix_adc"
  sender_id:
    - "tcp_output_citrix_adc"

routers:
  - <<: *route_citrix_adc

При необходимости откройте нужные порты на межсетевом экране (порты указаны в файле конфигурации).
Перезапустите службу лог коллектора.
Проверьте наличие событий в интерфейсе Платформы Радар.

Checkpoint NGFW

Настройка сбора событий Checkpoint через log-export.
Для настройки отправки событий с Checkpoint firewall по syslog выполните следующие шаги:

  1. Подключитесь по ssh к инстансу Checkpoint.
  2. Переключитесь в режим expert:

    > expert

  3. Выполните команду для создания конфигурации отправки:

    # cp_log_export add name <имя конфигурации> target-server <ip-адрес лог-коллектора> target-port 2511 protocol tcp format <формат событий syslog>

  4. Запустите конфигурацию командой:

    # cp_log_export restart name <имя конфигурации>r

    Если в конфигурации была допущена ошибка, то для ее изменения выполните команду:

    # cp_log_export set name <имя конфигурации> [параметры значения]

  5. На машине с лог-коллектором добавьте изменения в файл конфигурации для сбора событий от источника и отправки их в Платформу Радар:

    • добавить Компонент сбора событий:

      tcp_input_checkpoint: & tcp_input_checkpoint
          id: "tcp_input_checkpoint"
        host: "0.0.0.0"
          port: 2511
          sock_buf_size: 0
        format: "json"
          log_level: "INFO"
      
    • добавить Компонент отправки событий:

      tcp_output_checkpoint: & tcp_output_checkpoint id: "tcp_output_checkpoint " target_host: "<ip адрес Платформы Радар/или балансера>" port: 2511 sock_buf_size: 0 log_level: "INFO"

    • указать добавленные компоненты сбора и отправки в разделы collectors и senders соответственно:

      collectors:
          tcp_receiver:
          - <<: *tcp_input_checkpoint
      
      senders:
        port: 48002
          tcp:
          - <<: *tcp_output_checkpoint
      
    • добавить маршрут взаимодействия между компонентами сбора событий и компонентами отправки событий:

      route_1_checkpoint: &route_1_checkpoint
          collector_id:
          - "udp_input_checkpoint "
          sender_id:
          - "tcp_output_checkpoint "
      
    • включить маршрут в разделе конфигурационного файла routers:

      routers:
        - <<: *route_1_checkpoint
      

Перезапустите службу лог-коллектора.
Включите источник Checkpoint в Платформе Радар и нажмите кнопку «Синхронизировать».
Проверьте поступающие события в Платформе Радар в разделе «Просмотр событий».

Cisco snort

Настройка rsyslog на сервере snort.

Логирование snort выполняется в системный журнал syslog.

Для отправки логов в Платформу Радар выполните шаги:

  1. Создайте шаблон для rsyslog'a по пути /etc/rsyslog.d/. Например snort.conf

    sudo nano /etc/rsyslog.d/snort.conf

    Содержимое файла представлено ниже:

    If ($programname contains 'snort' and ($msg contains 'start' or $msg contains 'Start' or $msg contains 'Stop' or $msg contains 'stop' or $msg contains 'ERROR' or $msg contains 'fail' or $msg contains 'Fail')) or ($msg contains 'snort' and $msg contains 'exit') then @@x.x.x.x:515
    If $msg contains 'Classification' and $programname contains 'snort' then @@x.x.x.x:515
    

    Где вместо x.x.x.x необходимо указать ip-адрес лог-коллектора и порт после двоеточия.

    Первая строчка конфигурации позволяет отправлять в Платформу Радар системные логи, исключая не информативные. Вторая строчка включает пересылку алертов в Платформу Радар.

  2. Перезапустить службу rsyslog.

    systemctl restart rsyslog 

Настройки конфигурации log-collectora

tcp_input_515: &tcp_input_515
  id: "tcp_input4"
  host: "0.0.0.0"
  port: 515
  sock_buf_size: 0
  format: "json"

tcp_output_2517: &tcp_output_2517
  id: "tcp_output_4"
  target_host: "x.x.x.x"
  port: 2517

senders:
  port: 48002
  log_level: "INFO"
  tcp:
    - <<: *tcp_output_2517

collectors:
  tcp_receiver:
    - <<: *tcp_input_515

route_2517: &route_2517
  collector_id:
    - "tcp_input_515"
  sender_id:
    - "tcp_output_2517"

routers:
  - <<: *route_2517

Вместо x.x.x.x необходимо также указать ip-адрес лог-коллектора и выбранный ранее порт для tcp_input.

ViPNet Coordinator

Общие данные

Программно-аппаратные комплексов (ПАК) ViPNet Coordinator HW 4 — модельный ряд шлюзов безопасности, предназначенных для построения виртуальной сети ViPNet и обеспечения безопасной передачи данных между её защищенными сегментами, а также фильтрации IP-трафика.

ViPNet Coordinator имеет возможность отправлять события журнала регистрации IP-пакетов (формат CEF) и журнала работы служб iplircfg, mftpd, failoverd.

Характеристики источника в Платформе Радар:

Характеристика Значение
Название ViPNet
Тип HW
Вендор infotecs
Порт 2211
Протокол TCP

Примечание: По умолчанию источник ViPNet-Coordinator не имеет возможность изменить порт и протокол отправки событий, поэтому сбор событий лог-коллектором происходит по 514/UDP, отправка от лог-коллектора в платформу по 2211/TCP.

Внимание! Все команды выполняются в режиме администратора. Чтобы войти в режим администратора введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #.

Настройка источника включает в себя следующие процессы:

  1. Настройка журнала работы служб.
  2. Настройка журнала регистрации IP-пакетов.
  3. Настройка лог-коллектора.
  4. Включение источника на платформе.

Настройка журнала работы служб

Внимание! При настройке удаленного протоколирования событий, прекращается ведение журналов на локальном хосте. Если ViPNet Coordinator HW используется в режиме кластера горячего резервирования, то необходимо настроить удаленное протоколирование на обоих узлах.

Задайте уровень ведения журнала в секции debug файлов конфигурации iplir.conf, failover.ini, mftp.conf:

[debug]
debuglevel= 3
debuglogfile= syslog:daemon.debug 

Где:

  • debuglevel= 3 — уровень важности событий, записываемых в журнал. Возможные значения: от -1 до 4 (по умолчанию 3, -1 - отключает ведение журнала);
  • debuglogfile= syslog:daemon.debug — источник информации, выводимой в журнал. Значение syslog:<facility.level>, где:
    • facility — процесс, формирующий информацию. Возможные значения: kern (ядро)user (пользовательские программы) или daemon (системные службы);
    • level — уровень важности информации. Возможные значения: err (ошибка), info (информационное сообщение) или debug (отладочная информация).

Примечание: обычно достаточно указанных параметров по умолчанию.

Если вы хотите изменить настройки службы, то необходимо выполнить следующие действия:

  1. Остановите соответствующую службу.
  2. Внесите изменения в конфигурационный файл службы.
  3. Сохраните изменения.
  4. Закройте редактор и запустите службу.

Включите отправку событий журнала служб, указав IP-адрес лог-коллектора:

hostname# machine set loghost <IP-адрес лог-коллектора>

Добавьте разрешающее исходящее правило, указав IP-адрес лог-коллектора:

hostname# firewall local add src @local dst <IP-адрес лог-коллектора> udp dport 514 pass

Настройка журнала регистрации IP-пакетов в формате syslog + CEF

Остановите службу iplircfg и откройте файл конфигурации iplir.conf. В секции misc укажите параметры экспорта журнала регистрации IP-пакетов:

cef_enabled= yes
cef_ip= <ip-адрес лог-коллектора>
cef_port= <порт для данного источника> (по умолчанию: 514)
  • cef_enabled= yes — разрешение экспорта записей журнала по сети;
  • cef_ip — IP-адрес лог-коллектора, на который будут отправляться сообщения CEF;
  • cef_port — порт для данного источника, с которого лог-коллектор будет собирать события.

Сохраните изменения (сочетание клавиш Ctrl+O), закройте редактор (сочетание клавиш Ctrl+X).

Запустите службу iplircfg:

hostname# iplir start

Добавьте разрешающее исходящее правило, указав IP-адрес лог-коллектора:

hostname# firewall  local  add  src @local  dst <IP-адрес лог-коллектора> udp  dport  514 pass

Настройка журналирования IP-пакетов для определенного интерфейса

При необходимости вы можете настроить журналирование IP-пакетов для определенного интерфейса. Данная настройка производится в файле конфигурации интерфейса iplir.conf-eth<номер> при помощи команды

hostname# iplir config eth<номер>

Секция [db]:

  • registerall= <on/off> - включение или выключение регистрации записей обо всех пакет. Допустимые значения:
    • off - регистрируются только заблокированные пакеты (значение по умолчанию); 
    • on - регистрируются все пакеты.

Секция [cef]:

  • event= blocked - формирование сообщений CEF (которые и будут отправляться) при регистрации IP-пакетов, проходящих через интерфейс
    • all - для всех IP-пакетов;
    • blocked - только для блокированных IP-пакетов.
  • exclude= - указываются номера типов событий, которые должны быть исключены из формирования сообщений CEF (указываются номера типов событий через запятую).

Примечание: номера типов событий указаны в документе "02 ViPNet Coordinator HW 4. Настройка в CLI.pdf", входящий в Комплект документации на ViPNet Coordinator HW 4.

Сохраните изменения (сочетание клавиш Ctrl+O), закройте редактор (сочетание клавиш Ctrl+X).

Запустите службу iplircfg:

hostname# iplir start

Добавьте разрешающее исходящее правило, указав IP-адрес лог-коллектора:

hostname# firewall  local  add  src @local  dst <IP-адрес лог-коллектора> udp  dport  514 pass

Настройка лог-коллектора

udp_input_vipnet: &udp_input_vipnet
  id: "udp_input_vipnet"
  host: "<IP-адрес лог-коллектора>"
  port: 514
  format: "json"
tcp_output_vipnet: &tcp_output_vipnet
  id: "tcp_output_vipnet"
  target_host: "<IP-адрес Платформы>"
  port: 2211

collectors:
  udp_receiver:
    - <<: *udp_input_vipnet
senders:
  port: 48001
  tcp:
    - <<: *tcp_output_vipnet

route_vipnet: &route_vipnet
  collector_id:
    - "udp_input_vipnet"
  sender_id:
    - "tcp_output_vipnet"
routers:
  - <<: *route_vipnet

Где:

  • <IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
  • <514> - номер порта, с которого лог-коллектор будет получать события;
  • <IP-адрес Платформы> - IP-адрес по которому выполняется доступ в веб-интерфейс Платформы Радар;
  • 2211 - номер порта, на который лог-коллектор будет отправлять события в Платформу Радар.

Включение источника на платформе

Перейдите в веб-интерфейс платформы и выполните следующие действия:

  1. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  2. Включите источник Uncomplicated-Firewall-UFW.
  3. Нажмите кнопку Синхронизировать.
  4. Перейдите в раздел События и проверьте наличие потока событий от данного источника.