Настройка сбора журналов событий

Содержание

Настройка сбора журналов событий#

Правила сбора событий#

В разделе Журнал событий — Настройка сбора журналов событий.

В подразделе на вкладке Правила сбора событий приводится список правил сбора информации о событиях с указанием имени правила и его состояния (включено или выключено).

В списке доступен поиск по имени правила. Для этого в верхнем левом углу вкладки в поле поиска ввести запрос.

В списке доступна фильтрация по значению Статус, для этого необходимо нажать на значок фильтра рядом с названием столбца и отметить требуемые значения для фильтрации.

В левом нижнем углу указано количество правил, а в правом нижнем углу кнопки переключения страниц.

Добавление нового правила сбора информации о событиях#

В разделе Журнал событий — Настройка сбора журналов событий — Новое правило.

Для добавления нового правила необходимо нажать на кнопку Новое правило, будет выполнен переход на карточку нового правила.

В карточке на вкладке Основное заполнить обязательные поля Имя правила, Сервер сбора логов и Тип логов.

В поле Тип логов задается тип событий, информация о которых будет собираться.

На данный момент доступны следующие значения:

Логи авторизации Fly — сбор информации о входе пользователей в графический интерфейс клиентов домена;
Логи удаленного подключения — сбор информации обо всех удаленных подключениях к клиентам домена по протоколу SSH;
Логи состояния подключения к сети — сбор информации о состоянии подключения к сети всех клиентов домена.

Увеличение типов логов планируется на дальнейших этапах.

Примечание

С версии 2.0.0 действует ограничений: для одного сервера логов может использоваться только уникальный тип логов. Установить 2 правила сбора логов со значениями Логи авторизации Fly (или др из списка) для одного сервера нельзя.

Также можно заполнить поле Описание.

Для включения или выключения правила, соответственно, установить флаг Включено или Выключено.

Создание правила может занять некоторое время, отследить процесс можно 2 способами:

Через всплывающие окна в нижнем правом углу экрана. Появляются событийно.
В разделе Автоматизация — Задания автоматизации — Журнал заданий название задания add_rule.

Что происходит при создании правила сбор логов#

Для просмотра и изменения конфигурационных файлов необходимы sudo права.

При создании правила сбора логов на машинах домена в /etc/syslog-ng/ создаются конфигурационные файлы, где указываются какие логи передавать на какой сервер сбора логов. В LDAP создается запись о соответствующем правиле:

cn={id правила}, cn-audit, {base_dn}.

output_aldpro_options.conf#

Реализуется при создании первого правила сбора логов. Не привязано к серверу и типу логов. Отвечает за настройку правила.

Настраиваются:

flush_lines(lines) — задает количество строк, после которых буфер сбрасывается в файл журнала. По умолчанию 1.
log_fifo_size(size) — определяет размер кольцевого буфера для фоновой записи журнала. По умолчанию 1000.
use_dns(yes/no) — указывает, должен ли syslog-ng использовать DNS для разрешения имени хоста. По умолчанию да.
use_fqdn(yes/no) — указывает, должны ли все сообщения журнала содержать полное доменное имя хоста. По умолчанию да.

Универсальные настройки для syslog-ng:

chain_hostnames(yes/no) — указывает, должны ли все логи отображаться с именами хостов.
keep_hostname(yes/no) — указывает, должно ли имя хоста сохраняться в сообщениях журнала.
log_fifo_size(size) — определяет размер кольцевого буфера для фоновой записи журнала.
use_dns(yes/no) — указывает, должен ли syslog-ng использовать DNS для разрешения имени хоста.
use_fqdn(yes/no) — указывает, должны ли все сообщения журнала содержать полное доменное имя хоста.
use_fqdn_dns(yes/no) — указывает, должны ли все сообщения журнала содержать полное доменное имя хоста, разрешенное через DNS.
use_time_recvd(yes/no) — указывает, должно ли время получения сообщения быть добавлено в сообщение журнала.
use_time_secs(yes/no) — указывает, должно ли время прохождения сообщения быть добавлено в сообщение журнала.
use_time_timezone(yes/no) — указывает, должна ли временная зона быть добавлена к сообщению журнала.
flush_lines(lines) — задает количество строк, после которых буфер сбрасывается в файл журнала.
owner(user) — определяет пользователя, которому принадлежит файл журнала.
group(group) — определяет группу, которой принадлежит файл журнала.
perm(permissions) — определяет права доступа к файлу журнала.
dir_create(mode) — указывает, должна ли директория для файла журнала быть создана автоматически.
create_dirs(yes/no) — указывает, должны ли все отсутствующие директории создаваться автоматически.
create_mode(mode) — задает права доступа к новым файлам журнала.
compress(yes/no) — указывает, должны ли файлы журнала сжиматься.
compress_cmd(command) — задает команду для сжатия файлов журнала.
compress_options(options) — задает дополнительные параметры для команды сжатия.
log_fifo_size(size) — определяет размер кольцевого буфера для фоновой записи журнала.
flush_timeout(timeout) — указывает, сколько времени должно пройти до сброса буфера в файл журнала.
template(template) — определяет формат сообщения журнала.

Настройка других параметров остается на усмотрение пользователя и не поддерживается ПКД.

output_aldpro_{тип_логов}_filter.conf#

Реализуется при первом создании определенного типа правил сбора логов, не привязан к серверу. Отвечает за разграничение потоков логов по типам правил.

output_aldpro_{сервер_сбора_логов}_{тип_логов}_log.conf#

Формируется при назначении определенного типа правил. Отвечает за включение правила.

output_aldpro_{сервер_сбора_логов}_destination.conf#

Реализуется при первом создании правила на конкретный сервер сбора логов. Отвечает за выбор сервера сбора логов. По умолчанию используется порт 514.

Редактирование правила сбора информации о событиях#

В разделе Журнал событий — Настройка сбора журналов событий — {Имя правила}.

Просмотр информации о правиле доступен на его карточке. Для открытия карточки правила необходимо в списке правил нажать на соответствующее правило.

Информация о правиле представлена на вкладке Основное — содержит основную информацию о правиле.

Основное#

В разделе Журнал событий — Настройка сбора журналов событий — {Имя правила} — Основное.

На этой странице к редактированию доступны:

Описание — содержит произвольные заметки о созданном правиле;
Изменение состояния правила.

Для сохранения необходимо нажать Сохранить. После сохранения вы останетесь на странице Основное.

Конфигурационные параметры#

С версии 2.0.0 не предусмотрена возможность настройки правил сбора логов.

Версионность#

Каждое правило сбора событий имеет версию, которая автоматически изменяется, если наступило одно из следующих событий:

Внесены любые изменения в правило сбора событий. В этом случае дата изменений — это дата, когда пользователь внес изменения. А автор — это ФИО пользователя, внесшего изменения.
Произошло обновление версии ПКД. В этом случае дата изменений — это дата обновления системы. А автор изменений — Системное обновление.

Удаление правила#

1 способ:

Для удаления правила или одновременно несколько правил необходимо в списке правил отметить требуемое правило и нажать кнопку Удалить.

Чтоб отметить все записи — отметить пункт Имя правила. Для снятия отметок со всех правил — нажать кнопку закрытия в правом верхнем углу.

2 способ:

Также удалить правило можно из его карточки: открыть карточку, нажав в списке правил на соответствующее правило, затем на карточке на вкладке Основное нажать кнопку Удалить правило. После подтверждения удаления будет выполнен переход к списку правил.

Как происходит удаление правила#

Если правило было включено, удаляется конфигурационный файл output_aldpro_{сервер_сбора_логов}_{тип_логов}_log.conf в /etc/syslog-ng/ и запись в LDAP. Если правило не было включено, то удаляется только соответствующая запись в LDAP.

Правила при работе с ПКД разных версий

Перемещение правил при повышении версии ПКД до 2.0.0 и выше происходит автоматически.

Правила у которых были настроены сервера сбора логов являются работоспособными и в версии 2.0.0.