Перейти к содержанию

Решения System Security

При работе по подключению решений System Security в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

Sysmon-Windows

Sysmon (System Monitor) - утилита, которая позволяет получить более полные сведения о событиях Windows.

Перед началом работы с источником рекомендуется выполнить следующие действия:

Характеристики источника в Платформе Радар:

Характеристика Значение
Название Sysmon-Windows
Тип Sysmon
Вендор Microsoft
Порт 1513
Протокол TCP

Примечание: для запуска утилиты необходимо, чтобы на машине, на которой планируется сбор событий, было расположено два файла: файл-установщик с расширением .bat или .exe и файл конфигурации с расширением .xml. Для удобства работы рекомендуется расположить эти файлы в одной папке.

Для настройки источника выполните следующие действия:

  1. Установите и настройте утилиту Sysmon:

    • создайте каталог C:\ProgramData\sysmon\;
    • в созданный каталог скопируйте дистрибутив и конфигурационный файл;
    • откройте командную строку от имени администратора (cmd);
    • перейдите в созданный каталог и установите утилиту:

      cd C:\ProgramData\sysmon\
      sysmon64.exe -accepteula -i sysmonconfig.xml
      
  2. После успешной установки в Просмотре событий Windows (Event Viewer) появится новый журнал (Channel) Microsoft-Windows-Sysmon/Operational, в котором будут храниться все события.

  3. Для отправки событий журнала Sysmon в Платформу Радар необходимо внести изменение в файл конфигурации лог-коллектора. В разделе eventlog_collector необходимо в строке channel указать через запятую имена всех журналов, события которых нужно отправить в Платформу Радар (пример: channel: ['Security','Microsoft-Windows-Sysmon/Operational']):

    # = Sysmon-Windows =
    
    sysmon-windows: & sysmon-windows
      id: "sysmon-windows" 
      channel: ['Microsoft-Windows-Sysmon/Operational']
      query: "*"
      file: ""
      batch_size: 31
      timeout: 3
      poll_interval: 1
      read_from_last: true
      resolve_sid: false
      format: "json"
    
    tcp_output_sysmon: & tcp_output_sysmon
      id: "tcp_output_sysmon"
      target_host: "<ip адрес Платформы Радар/или балансера>" 
      port: 1513
    
    senders:
      port: 48002
      log_level: "INFO"
      tcp:
    - <<: *tcp_output_sysmon
    
    collectors:
      log_level: "INFO"
        event_log:
        - <<: *sysmon-windows  
    
    route_sysmon: &route_sysmon
      collector_id:
        - "sysmon-windows"
      sender_id:
        - "tcp_output_sysmon"  
    
  4. Перезапустите службу лог-коллектора.

  5. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  6. Включите источник Sysmon-Windows.
  7. Нажмите кнопку Синхронизировать.
  8. Перейдите в раздел События и проверьте наличие потока событий от данного источника

Confident Dallaslock

Характеристики источника в Платформе Радар:

Характеристика Значение
Название DallasLock
Тип SZI
Вендор Confident
Порт 2676
Протокол TCP

Для настройки источника выполните следующие действия:

  1. Войдите в интерфейс администратора Dallaslock и перейдите на вкладку Параметры безопасностиАудит.
  2. Выберите пункт Выгрузка журналов, вызовите контекстное меню и выберите пункт Свойства (см. рисунок 1).

    Аудит

    Рисунок 1 -- Dallaslock. Настройка аудита

  3. Откроется окно Выгрузка журналов (см. рисунок 2).

    Пример окна настройки добавления отправки событий

    Рисунок 2 -- Окно "Выбор журналов"

  4. В окне выполните следующие действия:

    • установите флаг Экспорт журналов в SIEM систему;
    • в поле Сервер укажите IP-адрес лог-коллектора;
    • в поле Порт укажите порт для данного источника;
    • в поле Формат выгрузки из выпадающего списка выберите значение Syslog;
    • в поле Кодировка выгрузки из выпадающего списка выберите значение CP-1251;
    • выберите журналы для логирования, установив соответствующие флаги;
    • нажмите кнопку ОК.
  5. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

    tcp_input_dallasLock: & tcp_input_dallasLock
        id: "tcp_input_dallasLock"
        host: "<ip-адрес лог-коллектора>"
        port: 2676
        sock_buf_size: 0
        format: "json"
        encoding:
            change_to_utf8: true
            original_encoding: "cp1251"
    
    tcp_output_dallasLock: & tcp_output_dallasLock
        id: "tcp_output_dallasLock"
        target_host: "<ip адрес Платформы Радар/или балансера>" 
        port: 2676
        sock_buf_size: 0
        log_level: "INFO"
    
    collectors:
        tcp_receiver:
        - <<: *tcp_input_dallasLock
    
    senders:
      port: 48002
        tcp:
        - <<: *tcp_output_dallasLock
    
    route_dallasLock: &route_dallasLock
        collector_id:
        - "tcp_input_dallasLock"
        sender_id:
        - "tcp_output_dallasLock"
    
    routers:
      - <<: *route_dallasLock
    
  6. Перезапустите службу лог-коллектора.

  7. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  8. Включите источник DallasLock.
  9. Нажмите кнопку Синхронизировать.
  10. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Бастион СКДПУ НТ

Система контроля действий привилегированных пользователей «Новые технологии» (СКДПУ НТ) обеспечивает мониторинг подключений и действий, выполняемых привилегированными пользователями на администрируемых устройствах: бизнес-приложениях, базах данных, гипервизорах, серверах Windows и Unix/Linux, сетевых устройствах и т.д. СКДПУ позволяет осуществлять мониторинг подключений к ИТ-системам в реальном времени и ретроспективно, на основании архива сессий.

Характеристики источника в Платформе Радар:

Характеристика Значение
Название Bastion-SKDPU-NT
Тип Access-Gateway
Вендор IT-Bastion
Порт 2300
Протокол TCP

Для настройки источника выполните следующие действия:

  1. Войдите в веб-интерфейс системы СКДПУ НТ под учетной записью с правами администратора.
  2. Перейдите в раздел СистемаИнтеграция с SIEM (см. рисунок 3).

    Пример окна настройки добавления отправки событий

    Рисунок 3 -- Сохранение настройки СКДПУ НТ

  3. Укажите в разделе следующую информацию:

    • в поле Роутинг из выпадающего списка выберите значение Включено;
    • в поле Доменное имя укажите IP-адрес лог-коллектора;
    • в поле Порт укажите порт, открытый на лог-коллекторе для приема событий от данного источника (2300);
    • в поле Протокол из выпадающего списка выберите протокол взаимодействия (TCP/UDP) ;
    • в поле Log format из выпадающего списка выберите формат отправки событий;
    • в поле Формат времени из выпадающего списка выберите формат отображения времени в отправляемом событии;
    • нажмите кнопку «+» для добавления конфигурации, а затем кнопку Применить для сохранения изменений.
  4. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

    udp_input_skdpu_514: & udp_input_skdpu_514
        id: "udp_input_skdpu_514"
        host: "<ip-адрес лог-коллектора>"
        port: 514
        sock_buf_size: 0
        format: "json"
        log_level: "INFO"
    
    tcp_output_skdpu_2300: & tcp_output_skdpu_2300
        id: "tcp_output_skdpu_2300"
        target_host: "<ip адрес Платформы Радар/или балансера>" 
        port: 2300
        sock_buf_size: 0
        log_level: "INFO"
    
    collectors:
        udp_receiver:
        - <<: *udp_input_skdpu_514
    
    senders:
      port: 48002
        tcp:
        - <<: *tcp_output_skdpu_2300
    
    route_skdpu: &route_skdpu
        collector_id:
        - "udp_input_skdpu_514"
        sender_id:
        - "tcp_output_skdpu_2300"
    
    routers:
      - <<: *route_skdpu
    
  5. Перезапустите службу лог-коллектора.

  6. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  7. Включите источник Bastion-SKDPU-NT.
  8. Нажмите кнопку Синхронизировать.
  9. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Модуль UEBA для СКДПУ НТ

Характеристики источника в Платформе Радар:

Характеристика Значение
Название Bastion-UEBA
Тип UEBA
Вендор IT-Bastion
Порт 2301
Протокол TCP

Для настройки источника выполните следующие действия:

  1. Войдите в веб-интерфейс модуля UEBA системы СКДПУ НТ под учетной записью с правами администратора.
  2. Перейдите в раздел НастройкиКонфигурация журналирования (см. рисунок 4).

    Пример окна настройки добавления отправки событий

    Рисунок 4 -- Модуль UEBA. Конфигурация журналирования

  3. Укажите в разделе следующую информацию:

    • в поле Active из выпадащего списка выберите значение Включено;
    • в поле Адрес укажите IP-адрес лог-коллектора;
    • в поле Порт укажите порт, открытый на лог-коллекторе для приема событий от данного источника (2301);
    • в поле Протокол из выпадающего списка выберите протокол взаимодействия (TCP/UDP);
    • в поле Формат из выпадающего списка выберите формат отправки событий;
    • в поле Фильтр из выпадающего списка выберите тип событий, отправляемых в платформу;
    • нажмите кнопку Добавить для добавления конфигурации, а затем кнопку Применить настройки для сохранения изменений.
  4. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

    udp_input_ueba: & udp_input_ueba
        id: "udp_input_ueba"
        host: "<ip-адрес лог-коллектора>"
        port: 2301
        sock_buf_size: 0
        format: "json"
        log_level: "INFO"
    
    tcp_output_ueba: & tcp_output_ueba
        id: "tcp_output_ueba"
        target_host: "<ip адрес Платформы Радар/или балансера>" 
        port: 2301
        sock_buf_size: 0
        log_level: "INFO"
    
    collectors:
        udp_receiver:
        - <<: *udp_input_ueba
    
    senders:
      port: 48002
        tcp:
        - <<: *tcp_output_ueba
    
    route_ueba: &route_ueba
        collector_id:
        - "udp_input_ueba"
        sender_id:
        - "tcp_output_ueba"
    
    routers:
      - <<: *route_ueba
    
  5. Перезапустите службу лог-коллектора.

  6. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  7. Включите источник Bastion-UEBA.
  8. Нажмите кнопку Синхронизировать.
  9. Перейдите в раздел События и проверьте наличие потока событий от данного источника

Kaspersky Anti Targeted Attack Platform

Характеристики источника в Платформе Радар:

Характеристика Значение
Название Kaspersky-Anti-Targeted-Attack-Platform
Тип APT-protection
Вендор Kaspersky
Порт 2602
Протокол TCP

Для настройки источника выполните следующие действия:

  1. Войдите в веб-интерфейс системы Kaspersky Anti Targeted Attack под учетной записью с правами администратора.
  2. Перейдите в раздел SettingsSIEM system (см. рисунок 5).

    Применение настройки отправки событий Kaspersky Anti Targeted Attack

    Рисунок 5 -- Применение настройки отправки событий Kaspersky Anti Targeted Attack

  3. Укажите следующие настройки:

    • в поле Data to send установите флаги «Activity log» и «Alerts»;
    • в поле Host/IP укажите IP-адрес лог-коллектора ;
    • в поле Port укажите порт, открытый на лог-коллекторе для приема событий от данного источника (2602);
    • в поле Protocol из выпадающего списка выберите протокол взаимодействия: TCP;
    • в поле Host ID укажите ID устройства;
    • в поле Heartbeat укажите интервал отправки событий с информацией о состоянии системы;
    • при необходимости шифрования отправки событий в поле TLS encryption установите переключатель в «Enable».
  4. Для сохранения изменений нажмите кнопку Apply.
  5. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

    tcp_input_anti_target_attack: & tcp_input_anti_target_attack
        id: "tcp_input_anti_target_attack"
        host: "<ip-адрес лог-коллектора>"
        port: 2602
        sock_buf_size: 0
        format: "json"
        log_level: "INFO""
    
    tcp_output_anti_target_attack: & tcp_output_anti_target_attack
        id: "tcp_output_anti_target_attack"
        target_host: "<ip адрес Платформы Радар/или балансера>" 
        port: 2602
        sock_buf_size: 0
        log_level: "INFO"
    
    collectors:
        tcp_receiver:
        - <<: *tcp_input_anti_target_attack
    
    senders:
      port: 48002
        tcp:
        - <<: *tcp_output_anti_target_attack
    
    route_anti_target_attack: &route_anti_target_attack
        collector_id:
        - "tcp_input_anti_target_attack"
        sender_id:
        - "tcp_output_anti_target_attack"
    
    routers:
      - <<: *route_anti_target_attack
    
  6. Перезапустите службу лог-коллектора.

  7. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  8. Включите источник Kaspersky-Anti-Targeted-Attack-Platform.
  9. Нажмите кнопку Синхронизировать.
  10. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Kaspersky Secure Mail Gateway

Характеристики источника в Платформе Радар:

Характеристика Значение
Название Kaspersky-Secure-Mail-Gateway
Тип KSMG
Вендор Kaspersky
Порт 2608
Протокол TCP

Настройка источника включает в себя следующие процессы:

  1. Настройка SSH подключения Kaspersky Secure Mail Gateway.
  2. Настройка экспорта событий в формате CEF.
  3. Настройка отправки событий в Платформу Радар.
  4. Настройка лог-коллектора.
  5. Включение источника на платформе.

Настройка SSH подключения Kaspersky Secure Mail Gateway

Примечание: настройка Kaspersky Secure Mail Gateway выполняется из режима Technical Support Mode, доступ к которому выполняется по SSH ключу. Если у вас уже настроен доступ по SSH, то начните настройку с раздела Настройка экспорта событий в формате CEF.

  1. Откройте терминал и выполните команду:

    $ ssh-keygen -t rsa
    
  2. На консоль будет выведено следующее сообщение:

    Enter file in which to save the key (/home/user/.ssh/id_rsa):
    
  3. Нажмите на клавишу Enter. Далее система предложит ввести кодовую фразу для дополнительной защиты SSH-подключения:

    Enter passphrase (empty for no passphrase):
    
  4. Этот шаг можно пропустить. При ответе на этот и следующий вопрос просто нажмите клавишу Enter. После этого ключ будет создан.

  5. Выведете ключ в консоль и скопируйте его в буфер обмена:

    $ cat ~/.ssh/id_rsa.pub
    

    Примечание: убедитесь что вы скопировали все содержимое ключа: тело ключа, адрес электронной почты, без дополнительных символов и знаков переноса. Для проверки вы можете вставить скопированный ключ в блокнот - должна получиться одна строка.

  6. Войдите в веб-интерфейс Kaspersky Secure Mail Gateway и перейдите в раздел SettingsApplication accessSSH access (см. рисунок 6).

    Загрузка открытого ключа

    Рисунок 6 -- Kaspersky Secure Mail Gateway. SSH access

  7. Нажмите на кнопку Add key. Откроется окно "Add an SSH public key" (см. рисунок 7).

    Добавление открытого ключа

    Рисунок 7 -- Окно "Add an SSH public key"

  8. В поле Description укажите дополнительную информацию о загружаемом ключе SSH.

  9. В поле Key Data вставьте скопированный ранее открытый ключ SSH.
  10. Нажмите на кнопку Add.

Открытый ключ SSH будет добавлен. Администратор системы Kaspersky Secure Mail Gateway сможет подключиться к любому узлу кластера при наличии соответствующего ключа SSH.

При необходимости проверьте подключение командой:

# ssh -vvv -i .ssh/ksmg_rsa root@your-ksmg-ip-address

Где:

  • .ssh/ksmg_rsa - путь к вашему ключу SSH;
  • your-ksmg-ip-address - IP-адрес Kaspersky Secure Mail Gateway.

Настройка экспорта событий в формате CEF

  1. Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя ключ SSH. Запустится режим Technical Support Mode.
  2. Откройте файл с параметрами экспорта событий:

    /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template
    
  3. В блоке siemSettings выполните следующие настройки:

    • укажите категорию (facility) для syslog. Рекомендуется указать такую категорию (facility) для syslog, которая не используется другими программами на сервере. По умолчанию установлено значение local2. Допустимые значения:

          Auth.
          Authpriv.
          Cron.
          Daemon.
          Ftp.
          Lpr.
          Mail.
          News.
          Syslog.
          User.
          Uucp.
          Local0.
          Local1.
          Local2.
          Local3.
          Local4.
          Local5.
          Local6.
          Local7.
      
    • Включите экспорт журналов установив значение параметра enabled равным true.

    • Задайте уровень детализации экспорта журналов, установив одно из следующих значений параметра logLevel:

      • Error – экспорт событий, связанных с возникновением ошибок;
      • Info – экспорт всех событий.

      Пример:

      "siemSettings":
           {
           "enabled": true,
           "facility": "Local2",
           "logLevel": "Info",
       }
      
    • Для корректного выполнения операции парсинга Платформой Радар всех журналов поставьте пробел в следующей строке (см. рисунок 8).

      Редактирование файла конфигурации

      Рисунок 8 -- Редактирование файла конфигурации.

      Примечание: источник отправляет часть логов без обязательного поля Extension. Пробел решает эту проблему и все журналы проходят операцию парсинга правильно.

  4. Откройте файл /etc/rsyslog.conf и выполните следующие настройки:

    • измените строку

      *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
      

      на

      *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages
      
    • Добавьте в файл следующую строку:

      <категория (facility), выбранная на шаге 2>.* -/var/log/ksmg-cef-messages
      
  5. Создайте файл /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

    # touch /var/log/ksmg-cef-messages
    # chown root:klusers /var/log/ksmg-cef-messages
    # chmod 640 /var/log/ksmg-cef-messages
    
  6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog следующие строки:

    /var/log/ksmg-cef-messages
    
    {
        size 500M
        rotate 10
        notifempty
        sharedscripts
        postrotate
        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
        endscript
    }
    
  7. Перезапустите службу rsyslog. Для этого выполните команду:

    # service rsyslog restart
    
  8. Для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл выполните следующие действия:

    • войдите в веб-интерфейс Kaspersky Secure Mail Gateway и перейдите в раздел ПараметрыЖурналы и событияСобытия;
    • внесите произвольное изменение в значение любого параметра и нажмите на кнопку Сохранить;
    • после этого вы можете вернуть исходное значение измененного параметра. Экспорт событий в формате CEF будет настроен.

Настройка отправки событий в Платформу Радар

Внимание! Действия, описанные в разделе, необходимо выполнить на каждом узле кластера, события с которого вы хотите отправлять в Платформу Радар. Перед внесением изменений в конфигурационные файлы рекомендуется сделать их резервные копии.

  1. Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя ключ SSH. Запустится режим Technical Support Mode.
  2. Укажите IP-адрес лог-коллектора и порт для данного источника (2608). Для этого добавьте в конец файла /etc/rsyslog.conf следующие строки:

    $WorkDirectory /var/lib/rsyslog
    $ActionQueueFileName ForwardToSIEM
    $ActionQueueMaxDiskSpace 1g
    $ActionQueueSaveOnShutdown on
    $ActionQueueType LinkedList
    $ActionResumeRetryCount -1
    <категория (facility)>.* @@<IP-адрес лог коллектора>:<порт(TCP)>
    
  3. Перезапустите службу rsyslog. Для этого выполните команду:

    # service rsyslog restart
    

Настройка лог-коллектора

Пример конфигурационного файла лог коллектора:

cluster:
  url: "https://адрес_сервера"
  api_key: "<global_api_key>"
controller:
  port: 48000
metric_server:
  port: 48005
secret_file: "/opt/pangeoradar/configs/logcollector/secret"
secret_storage: "/opt/pangeoradar/configs/logcollector/secret_storage"
api_server:
  address: "IP-адрес лог-коллектора"
  port: 8001
  read_timeout: 60
  write_timeout: 60
  wait: 5
  enable_tls: true
  cert_file: "/opt/pangeoradar/certs/agent.crt"
  key_file: "/opt/pangeoradar/certs/agent.key"
  cert_key_pass: ""
  require_client_cert: false
  ca_file: "/opt/pangeoradar/certs/pgr.crt"
  log_level: "INFO"

journal:
  port: 48004
  log_level: "INFO"
  log_path: "/var/log/logcollector/journal.log"
  rotation_size: 30
  max_backups: 7
  max_age: 7

tcp_input_ksmg: &tcp_input_ksmg
  id: "tcp_input_ksmg"
  host: "<ip-адрес лог-коллектора>"
  port: 2608
  enable_tls: false
  compression_enabled: false
  connections_limit: 10
  format: "raw"
  log_level: "INFO"

tcp_output_ksmg: &tcp_output_ksmg
  id: "tcp_output_ksmg"
  target_host: "<ip адрес Платформы Радар/или балансера>"
  port: 2608

senders:
  port: 48001
  tcp:
    - <<: *tcp_output_ksmg

collectors:
  log_level: "INFO"
  tcp_receiver:
    - <<: *tcp_input_ksmg

route_ksmg: &route_ksmg
  collector_id:
    - "tcp_input_ksmg"
  sender_id:
    - "tcp_output_ksmg"

routers:
  - <<: *route_ksmg

Где:

  • "https://адрес_сервера" - IP-адрес узла с ролью master;
  • <global_api_key> - ваш ключ API, который можно получить в настройках кластера Платформы Радар;
  • <IP-адрес лог-коллектора> - IP-адрес, на котором расположен лог-коллектор;
  • 2608 - номер порта для подключения Kaspersky Secure Mail Gateway как источник событий.
  • <ip адрес Платформы Радар/или балансера> - IP-адрес по которому выполняется доступ в веб-интерфейс Платформы Радар.

После изменения конфигурации необходимо перезапустить службу лог-коллектора.

Включение источника на платформе

Перейдите в веб-интерфейс платформы и выполните следующие действия:

  1. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  2. Включите источник Kaspersky-Secure-Mail-Gateway.
  3. Нажмите кнопку Синхронизировать.
  4. Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Papercut-NG

PaperCut NG - это средство отслеживания заданий печати и отчетности.

Характеристики источника в Платформе Радар:

Характеристика Значение
Название Papercut-NG
Тип Print-Management
Вендор Papercut
Порт 2889
Протокол TCP

Настройка источника включает в себя следующие процессы:

  1. Переключение используемой базы данных на MSSQL.
  2. Настройка сетевого подключения к MSSQL.
  3. Настройка ODBC драйвера.
  4. Настройка лог-коллектора.
  5. Включение источника на платформе.

Переключение базы данных на MSSQL

По умолчанию события аудита хранятся в базе данных Papercut-NG, которая использует Apache-Derby, к которой нет возможности подключиться для извлечения журналов. Чтобы была возможность подключаться к базе данных и свободно получать из неё нужные события, необходимо переключить работу приложения на базу данных от MSSQL.

Примечание: перед началом работы скачайте и установите MSSQL и SSMS (sql management studio).

Для переключения базы данных на MSSQL выполните следующие действия:

  1. Остановите службу PaperCut Application Server..
  2. Откройте командную строку и перейдите в каталог с установленным приложением:

    cd "C:\Program Files\PaperCut NG\server\bin\win"
    
  3. Выполните экспорт существующей базы данных:

    db-tools export-db
    
  4. В установленной MSSQL создайте базу данных papercut и пользователя papercut.

  5. Выдайте пользователю papercut права владельца базой данных.
  6. Настройте конфигурационный файл приложения  Papercut C:\Program Files\PaperCut NG\server\server:
    • закомментируйте строку  database.type=Internal;
    • раскомментируйте строки относящиеся к MSSQL;
    • укажите наименование базы данных, имя и пароль владельца базы данных:

      ### Database Settings ###
      
      #database.type=Internal
      #database.driver=
      #database.url=
      #database.username=
      #database.password=
      
      # MS SQLServer connection example
      # IMPORTANT: The username below is a SQL Server user, not a Windows user
      # For Integrated/Windows authentication add integratesSecurity=true property to the connection string
      # Eg: jdbc:sqlserver://localhost1433;databasename=papercut;integratesSecurity=true
      database.type=SQLServer
      database.driver=com.microsoft.sqlserver.jdbc.SQLServerDriver
      database.url=jdbc:sqlserver://localhost:1433;databaseName=papercut
      database.username=papercut
      database.password=papercut
      

Настройка сетевого подключения к MSSQL

  1. На ОС Windows перейдите в Управление компьютеромСлужбы и приложенияДиспетчер конфигурации SQL ServerСетевая конфигурация SQL Server и включите протокол TCP/IP (см. рисунок 9).

    Пример окна настройки добавления отправки событий

    Рисунок 9 -- Сетевая конфигурация SQL Server. Настройка протоколов

  2. Вызовите контекстное меню и выберите пункт свойства. Откроется окно "Свойства TCP/IP" (см. рисунок 10).

    Пример окна настройки добавления отправки событий

    Рисунок 10 -- Окно "Свойства TCP/IP". Вкладка "IP-адреса"

  3. Перейдите на вкладку "IP-адреса" и в блоке IPALL укажите порт 1433 (см. рисунок 10).

  4. Перезапустите службу SQL сервер.
  5. Запустите командную строку и инициализируйте новую базу данных:

    cd "C:\Program Files\PaperCut NG\server\bin\win
    db-tools init-db
    
  6. Загрузите «backup» базы данных:

    cd "C:\Program Files\PaperCut NG\server\bin\win
    db-tools import-db "backup file name"
    
  7. Запустите службу PaperCut Application Server.

Настройка ODBC драйвера

Для извлечения данных из базы с помощью лог-коллектора необходимо настроить ODBC драйвер:

  1. На ОС Windows перейдите в Панель управленияСистема и безопасностьАдминистрирование.
  2. Откройте "Источники данных ODBC (64-разрядная версия)", перейдите на вкладку "Системный DSN" и нажмите кнопку Добавить. Откроется окно "Создание нового источника данных" (см. рисунок 11).

    Пример окна настройки добавления отправки событий

    Рисунок 11 -- Окно "Создание нового источника данных"

  3. Выберите драйвер SQL Server и нажмите Далее.

  4. Укажите наименование нового источника и наименование вашего SQL экземпляра. Нажмите Далее.
  5. Включите проверку подлинности учетной записи SQL Server, установив соответствующий флаг и укажите логин и пароль sql-пользователя. Нажмите Далее.
  6. На последнем шаге убедитесь, что подключение к базе данных произошло успешно и нажмите кнопку Готово.

Настройка лог-коллектора

Ниже приведена конфигурация лог-коллектора:

odbc_collector: & odbc_collector
  id: "odbc_collector"
  poll_interval: 5
  read_from_last: true
  connection_string: "Driver={SQL Server};Server=<IP-адрес лог-коллектора>\\SQLEXPRESS;database=papercut;UID=papercut;PWD=papercut;"
  sql: >
    SELECT [application_log_id], [log_date], [server_name], [log_level], [message],
        CAST(DATEDIFF_BIG(ns, '1970-01-01 00:00:00.0000000', log_date) AS BIGINT) AS epoch
    FROM tbl_application_log
    WHERE 
    CAST(DATEDIFF_BIG(ns, '1970-01-01 00:00:00.0000000', log_date) AS BIGINT) > ?
    ORDER BY log_date DESC;
  bookmark_field: "epoch"

tcp_output_2889: &tcp_output_2889
  id: "tcp_output_2889"
  target_host: "<ip адрес Платформы Радар/или балансера>"
  port: 2889  

collectors:
  log_level: "INFO"
  odbc:
    - <<: *odbc_collector

senders:
  port: 48002
  log_level: "INFO"
  tcp:
    - <<: *tcp_output_2889

route_odbc: &route_odbc
  collector_id:
    - "odbc_collector"
  sender_id:
    - "tcp_output_2889"   

routers:
  - <<: *route_odbc

Где:

  • <IP-адрес лог-коллектора> - IP-адрес, на котором расположен лог-коллектор;
  • <IP-адрес Платформы Радар/или балансера> - IP-адрес по которому выполняется доступ в веб-интерфейс Платформы Радар;
  • 2889 - номер порта для данного источника.

После изменения конфигурации необходимо перезапустить службу лог-коллектора.

Включение источника на платформе

Перейдите в веб-интерфейс платформы и выполните следующие действия:

  1. Перейдите в раздел АдминистрированиеИсточникиУправление источниками.
  2. Включите источник Papercut-NG.
  3. Нажмите кнопку Синхронизировать.
  4. Перейдите в раздел События и проверьте наличие потока событий от данного источника.