Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Настройка получения событий Nextcloud

Вы можете настроить получение событий программы Nextcloud 26.0.4 в

SIEM-систему
KUMA.

Настройка получения событий состоит из следующих этапов:

  1. Настройка аудита событий Nextcloud.
  2. Настройка Syslog-сервера для отправки событий.

    Для передачи событий от сервера в коллектор используется сервис rsyslog.

  3. Создание коллектора KUMA для получения событий Nextcloud.

    Для получения событий Nextcloud в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Nextcloud syslog, на шаге Транспорт выберите тип коннектора tcp или udp.

  4. Установка коллектора KUMA для получения событий Nextcloud.
  5. Проверка поступления событий Nextcloud в коллектор KUMA.

    Вы можете проверить, что настройка сервера источника событий Nextcloud выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало
[Topic 265465]

Настройка аудита событий Nextcloud

Чтобы настроить передачу событий Nextcloud в KUMA:

  1. На сервере, на котором установлена программа Nextcloud, создайте резервную копию конфигурационного файла /home/localuser/www/nextcloud/config/config.php.
  2. Отредактируйте конфигурационный файл Nextcloud /home/localuser/www/nextcloud/config/config.php.
  3. Измените значения следующих параметров на приведенные ниже:

    'log_type' => 'syslog',

    'syslog_tag' => 'Nextcloud',

    'logfile' => '',

    'loglevel' => 0,

    'log.condition' => [

    'apps' => ['admin_audit'],

    ],

  4. Перезагрузите сервис Nextcloud с помощью команды:

    sudo service restart nextcloud

Настройка отправки событий в коллектор KUMA будет выполнена.

В начало
[Topic 265467]

Настройка Syslog-сервера для отправки событий Nextcloud

Чтобы настроить передачу событий от сервера, на котором установлена программа Nextcloud, в коллектор:

  1. В каталоге /etc/rsyslog.d/ создайте файл Nextcloud-to-siem.conf со следующим содержанием:

    If $programname contains 'Nextcloud' then @<IP-адрес коллектора>:<порт коллектора>

    Пример:

    If $programname contains 'Nextcloud' then @192.168.1.5:1514

    Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

    If $programname contains 'Nextcloud' then @@<IP-адрес коллектора>:<порт коллектора>

  2. Сохраните изменения в конфигурационном файле Nextcloud-to-siem.conf .
  3. Создайте резервную копию файла /etc/rsyslog.conf.
  4. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

    $IncludeConfig /etc/Nextcloud-to-siem.conf

    $RepeatedMsgReduction off

  5. Сохраните внесенные изменения.
  6. Перезапустите сервис rsyslog, выполнив следующую команду:

    sudo systemctl restart rsyslog.service

Передача событий Nextcloud в коллектор будет настроена.

В начало
[Topic 265468]