Системы виртуализации

При работе по подключению систем виртуализации в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Управление источниками в Платформе;
• Руководство по настройке лог-коллектора.

KVM Hypervisor

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	KVM-Hypervisor
Номер (Порт)	2746
Вендор	RedHat
Тип	Hypervisor
Профиль сбора	tcp_input udp_input

Для настройки источника выполните следующие действия:

1. При необходимости установите KVM Hypervisor:

   • проверьте поддержку виртуализации и разрядности:

     # egrep -c '(vmx|svm)' /proc/cpuinfo
     # egrep -c 'lm' /proc/cpuinfo
     

   • установите пакеты:

     # apt install virtinst
     # apt install qemu-kvm bridge-utils virt-manager virt-viewer
     

   • добавьте пользователя в группы:

     # adduser <user> libvirt
     # adduser <user> kvm
     

2. Проверьте работу KVM:

   • проверьте наличие qemu в системе с помощью утилиты virsh:

     # virsh -c qemu:///system list
     Id   Name   State
     --------------------
     

   • проверьте права доступа к файлам:

     # ls -la /var/run/libvirt/libvirt-sock
     # srw-rw-rw- 1 root root 0 Aug 23 13:52 /var/run/libvirt/libvirt-sock
     
     # ls -lh /usr/bin/kvm
     # lrwxrwxrwx 1 root root 18 Jul 11 23:07 /usr/bin/kvm -> qemu-system-x86_64
     

   • если запущена хотя бы одна виртуальная машина, то проверка будет выглядеть следующим образом:

     # virsh -c qemu:///system list
      Id   Name          State
     -----------------------------
      7    ubuntu22.04   running
     

3. Настройте службу rsyslog:

   • журнал KVM располагается в директории:

     /home/$USER/.cache/virt-manager/virt-manager.log
     

   • настройте доступ к данному файлу:

     # chmod 644 /home/$USER/.cache/virt-manager/virt-manager.log
     

   • подготовьте конфигурационный файл для rsyslog и поместите его в директорию /etc/rsyslog.d/. Рекомендуется назвать файл в соответствии с системным шаблоном: [00]-<name>.conf, где [00] - приоритетный номер конфигурации в директории rsyslog.d, а <name> - имя источника. Чем меньше номер конфигурации, тем выше приоритет его обработки системой.

     # sudo vi /etc/rsyslog.d/30-kvm.conf
     

   • укажите в конфигурационном файле следующие настройки:

     # Input modules
     module(load="imfile" mode="inotify" PollingInterval="10")
     
     # KVM log
     input(type="imfile" File="/home/$USER/.cache/virt-manager/virt-manager.log"
         Tag="kvm"
         Severity="info"
         Facility="local3")
     
     local3.*  @@<IP-адрес агента сбора лог-коллектора>:port
     

     Где:

     • imfile - модуль, обрабатывающий журналы;
     • File - полный путь к файлу журнала;
     • Tag - тег, который будет использоваться для записей, полученных из указанного выше файла журнала;
     • Severity - уровень критичности события (info, debug, warning, error);
     • Facility - необходимый уровень facility, например local3;
     • local3.* @@<IP-адрес агента сбора лог-коллектора>:port - используемый протокол (@@ - TCP, @ - UDP), IP-адрес агента сбора лог-коллектора и порт, по которому агент сбора лог-коллектора будет принимать события. Порт должен совпадать со значением, указанным в настройках соответствующего профиля сбора.

4. Проверьте конфигурацию службы rsyslog:

   # rsyslogd -N1
   # rsyslogd: version 8.2310.0-1.fc38, config validation run (level 1), master config /etc/rsyslog.conf
   # rsyslogd: End of config validation run. Bye.
   

5. Для проверки конкретного файла конфигурации используйте следующие команды:

   # rsyslogd -f /etc/rsyslog.d/30-kvm.conf -N1
   # rsyslogd: version 8.2310.0-1.fc38, config validation run (level 1), master config /etc/rsyslog.d/30-kvm.conf.conf
   # rsyslogd: End of config validation run. Bye.
   

6. Перезапустите службу rsyslog:

   # systemctl restart rsyslog
   

7. Включите источник KVM-Hypervisor.

Microsoft Windows HyperV

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-HyperV
Номер (Порт)	1517
Вендор	Microsoft
Тип	Hypervisor
Профиль сбора	eventlog_input_local

Примечание: события от источника включены по умолчанию и записываются в следующие журналы Windows: Microsoft-Windows-Hyper-V-VMMS-Admin и Microsoft-Windows-Hyper-V-VMMS-Operational. Лог-коллектор должен быть установлен на том же сервере, где и Microsoft Windows HyperV.

Перейдите в веб-интерфейс платформы и включите источник Microsoft-Windows-HyperV.

Proxmox

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Proxmox
Номер (Порт)	4400
Вендор	Proxmox
Тип	Hypervisor
Профиль сбора	udp_input

Журналирование событий Proxmox выполняется в системный журнал syslog. За журналирование отвечает демон pvedaemon.

Для настройки источника выполните следующие действия:

1. Создайте шаблон для службы rsyslog по пути /etc/rsyslog.d/. Например, proxmox_to_pangeoradar.conf:

   # sudo nano /etc/rsyslog.d/proxmox_to_pangeoradar.conf
   

2. Добавьте пустую строку в шаблон и сохраните изменения.

3. После создания шаблона, журналы событий в системе Proxmox перестанут сохраняться. При необходимости настройте дополнительное сохранение отправляемых журналов в Proxmox. Для этого в шаблоне укажите следующие настройки:

   if $programname == 'pvedaemon'
   then
       /var/log/proxmox.log
       action(
           type="omfwd"
           target="<IP>"
           port="<PORT>"
           protocol="udp"
           action.resumeRetryCount="100"
           queue.type="linkedList"
           queue.size="10000"
       )
   & stop
   

4. Перезапустите службу rsyslog.

   # systemctl restart rsyslog
   

5. При необходимости исключите ненужные журналы при отправке. Для этого в функции $msg contains добавьте отрицание not и укажите слово, характеризующее журнал, например:

   if ($programname == 'pvedaemon') and not ($msg contains 'worker') then @IP:PORT
   

   Где:

   • worker - будут отправлены все журналы, кроме тех, в которых встречается слово worker;
   • IP- IP-адрес агента сбора лог-коллектора;
   • PORT - порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • @ - отправка журналов по протоколу UDP.

6. Включите источник Proxmox.

vGate

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	vGate
Номер (Порт)	2745
Вендор	Security-Code
Тип	Hypervisor
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Войдите в консоль управления системой.

2. Перейдите в раздел Настройки → Аудит и нажмите на ссылку Настройки сбора сообщений. Откроется окно "Настройка аудита события" (см. рисунок 1).

   

   Рисунок 1 -- Настройка аудита события

3. В окне "Настройка аудита события" установите флаги Включить аудит события и Отправка Syslog.

4. Нажмите кнопку ОК.

5. Отметьте уведомления, которые необходимо отправлять в Платформу Радар, установив соответствующие флаги (см. рисунок 2).

   Рисунок 2 -- Выбор уведомлений для отправки

6. Нажмите кнопку Применить.

7. Нажмите на ссылку Настройка уведомлений о событиях по протоколу Syslog. Откроется окно "Настройка отправки сообщений Syslog" (см. рисунок 3).

   

   Рисунок 3 -- Окно "Настройка отправки сообщений Syslog"

8. В окне укажите следующие настройки:

   • включите отправку уведомлений установив соответствующий флаг;
   • в поле Сервер укажите IP-адрес агента сбора лог-коллектора;
   • в поле Порт укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • нажмите кнопку ОК.

9. Включите источник vGate.

VMware ESXi

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Vmware-ESXi
Номер (Порт)	2740
Вендор	Vmware
Тип	Hypervisor
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Войдите в интерфейс системы под учетной записью с правами администратора.
2. Перейдите в раздел Manage → System → Advanced settings.

3. Откройте на редактирование настройку Syslog.global.logHost (см. рисунок 4).

   

   Рисунок 4 -- Настройка Syslog.global.logHost

4. В открывшемся окне (см. рисунок 5) укажите IP-адрес агента сбора лог-коллектора и порт, указанный в настройках соответствующего профиля сбора.

   

   Рисунок 5 -- Настройка Syslog.global.logHost

5. Создайте правило службы firewall для ESXi:

   • перейдите в консоль ESXi;

   • сделайте резервную копию конфигурационного файла с правилами службы firewall:

     # cp /etc/vmware/firewall/service.xml /etc/vmware/firewall/service.xml.bak
     

   • выдайте разрешение на запись конфигурационного файла:

     # chmod 644 /etc/vmware/firewall/service.xml
     

   • установите sticky bit flag:

     # chmod +t /etc/vmware/firewall/service.xml
     

   • откройте на редактирование конфигурационный файл службы:

     # vi /etc/vmware/firewall/service.xml
     

   • перед последней строчкой файла укажите следующее правило:

     <service id='0045'>
         <id>CustomSyslog</id>
         <rule id='0000'>
           <direction>outbound</direction>
           <protocol>udp</protocol>
           <porttype>dst</porttype>
           <port>порт, указанный в профиле сбора</port>
         </rule>
         <enabled>true</enabled>
         <required>true</required>
     </service>
     

   • сохраните внесенные изменения;

   • верните права на запись конфигурационного файла в исходное состояние:

     # chmod 444 /etc/vmware/firewall/service.xml
     

   • обновите состояние службы firewall:

     # localcli network firewall refresh
     

   • проверьте состояние добавленного правила (см. рисунок 6).

     

     Рисунок 6 -- Проверка состояния добавленного правила

6. Включите источник Vmware-ESXi.