Инструкция по настройке журнала событий

Введение

Функционал предназначен для настройки сбора логов событий компьютеров домена ALDPro в хронологическом порядке. Данные собираются на сервере журнала событий. Собранные данные могут использоваться для анализа и аудита сторонними SIEM.

Журнал событий в ALD PRo до версии 2.0.0 и ниже основан на решении Fluentd. Инструкция по работе с журналом событий до ALD Pro 2.0.0 по ссылке.

Журнал событий в ALD PRo после версии 2.0.0 и выше основан на open source решении Syslog-ng.

Журнал событий ALD Pro позволяет собирать следующие события: логи авторизации Fly, логи удаленного подключения, логи состояния подключения к сети.

Ограничения:

  • Расширение списка регистрируемых событий из портала управления не предусмотрено.

  • Функционал мониторинга, аудита и реагирования на события на портале управления не предусмотрен.

Серверы журнала событий

Минимальные требования к серверу журнала событий

  • Количество серверов - 1

  • Количество CPU ядер - 2

  • Оперативная память - 2 Гб

  • Свободное дисковое пространство - 30 Гб

  • ОС - до Astra Linux 1.7.4 включительно

Как развернуть сервер журнала событий

Путь: Журнал событий → Серверы журнала событий → + Развернуть сервер журнала событий

Будет выполнен переход на карточку нового сервера.

На карточке заполнить обязательные поля «Имя компьютера» и «Имя сайта».

Имя компьютера и Имя сайта выбираем из выпадающего списка.

Имя компьютера - какой компьютер будет использоваться в качестве сервера журналирования событий. В выпадающем списке предлагаются компьютера незанятые под сервера в других подсистемах и системе журнала событий ранее.

Для сохранения сервера нажать на кнопку сохранения в правом верхнем углу. Будет выполнен переход к списку серверов. Разворачивание сервера может занять некоторое время, отследить выполнение можно 2 способами:

  1. Через всплывающие окна в нижнем правом углу экрана. Появляются событийно.

  2. Автоматизация → Задания автоматизации → Журнал заданий название задания audit_install

При успешном выполнении задания на разворачивание сервера, он появится в списке серверов на странице Журнал событий → Серверы журнала событий → Развернуть сервер журнала событий.

ALDPro позволяет разворачивать несколько серверов журнала событий. Ограничений на количество серверов в ALDPro нет.

Ограничений на количество серверов журналов событий на одном сайте нет.

Что происходит при развёртывании сервера

Агент Syslog-ng используется ОС Astra Linux и уже установлен на компьютерах.

Поэтому, при развёртывании только формируется запись в LDAP о выборе хоста в качестве сервера для журнала событий.

cn={host}, cn=log,cn=services,cn=aldpro, cn=etc где host - имя выбранного компьютера, base_dn - dn домена.

Управление сервером журнала событий

Путь: Журнал событий → Серверы журнала событий → {Имя компьютера}

Управление сервером журнала событий выполняется на его карточке. Для открытия карточки необходимо в списке серверов журнала событий нажать на соответствующий сервер.

На карточке сервера доступны для редактирования поля «Имя сайта».

Для сохранения изменений нажать на кнопку сохранения в правом верхнем углу.

Будет выполнен переход к списку серверов.

Для закрытия карточки и возврата к списку серверов нажать на кнопку закрытия.

Удаление сервера журнала событий

Путь: Журнал событий → Серверы журнала событий → {Имя компьютера}

Удаление сервера журнала событий осуществляется из его карточки: открыть карточку, нажав в списке серверов на соответствующий сервер, затем на карточке нажать кнопку [Удалить сервер журнала событий]. После подтверждения удаления будет выполнен переход к списку серверов журнала событий.

Настройка сбора журналов событий

Правила сбора событий

Путь: Журнал событий → Настройка сбора журналов событий

В подразделе на вкладке «Правила сбора событий» приводится список правил сбора информации о событиях с указанием имени правила и его состояния (включено или выключено).

В списке доступен поиск по имени правила. Для этого в верхнем левом углу вкладки в поле поиска ввести значение.

В списке доступна фильтрация по значению «Статус», для этого необходимо нажать на значок фильтра рядом с названием столбца и отметить требуемые значения для фильтрации.

В левом нижнем углу указано количество правил, а в правом нижнем углу кнопки переключения страниц.

Добавление нового правила сбора информации о событиях

Путь: Журнал событий → Настройка сбора журналов событий → +Новое правило

Для добавления нового правила необходимо нажать на кнопку [+ Новое правило], будет выполнен переход на карточку нового правила. В карточке на вкладке «Основное» заполнить обязательные поля «Имя правила», «Сервер сбора логов» и «Тип логов». В поле «Тип логов» задается тип событий, информация о которых будет собираться.

На данный момент доступны следующие значения: - «Логи авторизации Fly» — сбор информации о входе пользователей в графический интерфейс клиентов домена; - «Логи удаленного подключения» — сбор информации обо всех удаленных подключениях к клиентам домена по протоколу ssh; - «Логи состояния подключения к сети» — сбор информации о состоянии подключения к сети всех клиентов домена.

Увеличение типов логов планируется на дальнейших этапах.

Важно

С версии 2.0.0 действует ограничений: для одного сервера логов может использоваться только уникальный тип логов. Другими словами, установить 2 правила сбора логов со значениями «Логи авторизации Fly»(или др из списка) для одного сервера не получится.

Также можно заполнить поле «Описание». Для включения или выключения правила, соответственно, установить флаг «Включено» или «Выключено».

Создание правила может занять некоторое время, отследить процесс можно 2 способами:

  1. Через всплывающие окна в нижнем правом углу экрана. Появляются событийно.

  2. Автоматизация → Задания автоматизации → Журнал заданий название задания add_rule.

Редактирование правила сбора информации о событиях

Путь: Журнал событий → Настройка сбора журналов событий → {Имя правила}

Просмотр информации о правиле доступен на его карточке. Для открытия карточки правила необходимо в списке правил нажать на соответствующее правило.

Информация о правиле представлена на вкладках:

  • «Основное» — содержит основную информацию о правиле;

Основное

Путь: Журнал событий → Настройка сбора журналов событий → {Имя правила} → Основное

На этой странице к редактированию доступны:

  • Описание - содержит произвольные заметки о созданном правиле.

Изменение состояния правила.

Для сохранения нажмите “Сохранить”. После сохранения вы останетесь на странице Основное.

Конфигурационные параметры

С версии 2.0.0 не предусмотрена возможность настройки правил сбора логов.

Версионность

Каждое правило сбора событий имеет версию, которая автоматически изменяется, если наступило одно из следующих событий:

  1. Внесены любые изменения в правило сбора событий. В этом случае дата изменений - это дата, когда пользователь внес изменения. А автор - это ФИО пользователя, внесшего изменения.

  2. Произошло обновление версии ALD Pro. В этом случае дата изменений - это дата обновления системы. А автор изменений - Системное обновление.

Удаление правила

1 способ

Для удаления правила или одновременно несколько правил необходимо в списке правил отметить требуемое правило и нажать кнопку [Удалить].

Чтоб отметить все записи — отметить пункт «Имя правила». Для снятия отметок со всех правил — нажать кнопку закрытия в правом верхнем углу.

2 способ:

Также удалить правило можно из его карточки: открыть карточку, нажав в списке правил на соответствующее правило, затем на карточке на вкладке «Основное» нажать кнопку [Удалить правило]. После подтверждения удаления будет выполнен переход к списку правил.

Работа с логами

Просмотр логов на сервере

Логи сохраняются на сервере по пути /var/log/aldpro/.

Для просмотра файлов логов необходимы sudo права.

Формат логов:

{Тип_логов}\_.log

Типы логов:

Fly - Логи авторизации Fly
Network - Логи состояния подключения к сети
Connection - Логи удаленного подключения

Использование нескольких серверов аудита

Система не имеет ограничений по количеству серверов аудита. Но поддерживается использование уникального типа логов для одного сервера логов. Т.е. создание двух правил с типом логов, например, Логи авторизации Fly на одном сервере сбора логов запрещено.

Форсированное применение правил сбора журнала событий

Пользователь может выполнить принудительное обновление pillar и применение правил командой:

aldpro-salt-call state.apply policies.audit-policies queue=True

Флаг queue=True используется для добавления команды в очередь заданий aldpro-salt.

Команда проверки действующего таймера запуска задания применения правил сбора событий на компьютере:

aldpro-salt-call schedule.show_next_fire_time build_audit_role_pillar

Команда проверяет только постоянный таймер, поэтому возможна ситуация, когда он будет показывать, что задание уже должно быть выполнено.