Alt Linux
Общие данные
Платформа Радар поддерживает сбор событий с версии "Альт Рабочая станция 10.0" и выше.
Для журналирования событий используются следующие службы:
rsyslog- служба журналирования для отправки событий в платформу;auditd- отвечает за запись сообщений аудита вызванных активностью приложений или системы.
Примечание: по умолчанию управление журналами в ОС осуществляется службами
systemd-journaldиjournalct.В целях организации безопасной передачи данных на лог-коллектор по протоколу
TCP, а также обеспечения возможности фильтрации сообщений по источникам и их содержимому предлагается установить пакетrsyslog(см. раздел Настройка службы rsyslog).
Характеристики источника в Платформе Радар:
| Характеристика | Значение |
|---|---|
| Название | Linux-Alt |
| Тип | Linux |
| Вендор | BaseAltSPO |
| Порт | 2692 |
| Протокол | TCP |
Настройка источника включает в себя следующие процессы:
- Настройка службы ryslog.
- Настройка службы auditd.
- Настройка лог-коллектора.
- Включение источника на платформе.
Настройка службы rsyslog
В файле /etc/systemd/journald.conf включите пересылку записи журналов в syslog:
Storage=none
ForwardToSyslog=yes
rsyslog:
# apt-get install rsyslog-classic
В конфигурационном файле /etc/rsyslog.d/00_common.conf укажите адрес лог-коллектора, добавив следующую строку:
auth,authpriv.* @@<IP-адрес лог-коллектора>:2692
Где:
<ip-адрес лог-коллектора>- IP-адрес лог-коллектора;2692- номер порта для подключения ОС Alt Linux как источник событий.
Чтобы служба rsyslog принимала и отправляла поток событий от службы auditd, необходимо создать файл /etc/rsyslog.d/30-auditd.conf и указать в нем следующие параметры:
module(load="imfile" mode="inotify" PollingInterval="10")
input(type="imfile" File="/var/log/audit/audit.log"
Severity="info"
Facility="local6")
local6.* @@<IP-адрес лог-коллектора>:2692
Где:
<ip-адрес лог-коллектора>- IP-адрес лог-коллектора;2692- номер порта для подключения ОС Alt Linux как источник событий.
Перезапустите службу:
# service rsyslogd restart
Настройка службы auditd
Службы auditd и audispd-plugins установлены в системе по умолчанию.
Выполните настройку файла /etc/audit/rules.d/extended.rules в соответствии с рекомендациями раздела Настройка правил расширенного аудита.
В конфигурационном файле /etc/audit/plugins.d/syslog.conf укажите следующие параметры:
active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string
Перезапустите службу.
Настройка лог-коллектора
Ниже приведена конфигурация входящих и исходящих потоков событий для лог-коллектора:
tcp_input_alt: &tcp_input_alt
id: "tcp_input_alt"
host: "<IP-адрес лог-коллектора>"
port: 2692
format: "json"
tcp_output_alt: &tcp_output_alt
id: "tcp_output_alt"
target_host: "<IP-адрес Платформы>"
port: 2692
collectors:
tcp_receiver:
- <<: *tcp_input_alt
senders:
port: 48001
tcp:
- <<: *tcp_output_alt
route_alt: &route_alt
collector_id:
- "tcp_input_alt"
sender_id:
- "tcp_output_alt"
routers:
- <<: *route_alt
Где:
<ip-адрес лог-коллектора>- IP-адрес лог-коллектора;2692- номер порта для подключения ОС Alt Linux как источник событий;<IP-адрес Платформы>- IP-адрес по которому выполняется доступ в веб-интерфейс Платформы Радар.
Включение источника на платформе
Перейдите в веб-интерфейс платформы и выполните следующие действия:
- Перейдите в раздел Администрирование → Источники → Управление источниками.
- Включите источник Linux-Alt.
- Нажмите кнопку Синхронизировать.
- Перейдите в раздел События и проверьте наличие потока событий от данного источника.