Содержание
Настройка получения событий FreeRADIUS
Вы можете настроить получение событий программы FreeRADIUS версии 3.0.26 в
KUMA.Настройка получения событий состоит из следующих этапов:
- Настройка аудита событий FreeRADIUS.
- Настройка Syslog-сервера для отправки событий FreeRADIUS.
- Создание коллектора KUMA для получения событий FreeRADIUS.
Для получения событий FreeRADIUS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] FreeRADIUS syslog, на шаге Транспорт выберите тип коннектора tcp или udp.
- Установка коллектора KUMA для получения событий FreeRADIUS.
- Проверка поступления событий FreeRADIUS в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий FreeRADIUS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.
Настройка аудита событий FreeRADIUS
Чтобы настроить аудит событий в системе FreeRADIUS:
- Подключитесь к серверу, на котором установлена система FreeRADIUS, под учётной записью, обладающей административными привилегиями.
- Создайте резервную копию конфигурационного файла FreeRADIUS с помощью команды:
sudo cp /etc/freeradius/3.0/radiusd.conf /etc/freeradius /3.0/radiusd.conf.bak
- Откройте конфигурационный файл FreeRADIUS для редактирования с помощью команды:
sudo nano /etc/freeradius/3.0/radiusd.conf
- В секции log измените параметры следующим образом:
destination = syslog
syslog_facility = daemon
stripped_names = no
auth = yes
auth_badpass = yes
auth_goodpass = yes
- Сохраните конфигурационный файл.
Аудит событий FreeRADIUS будет настроен.
В началоНастройка Syslog-сервера для отправки событий FreeRADIUS
Для передачи событий от сервера FreeRADIUS в коллектор KUMA используется сервис rsyslog.
Чтобы настроить передачу событий от сервера, на котором установлен FreeRADIUS, в коллектор:
- В каталоге /etc/rsyslog.d/ создайте файл FreeRADIUS-to-siem.conf и добавьте в него следующую строку:
If $programname contains 'radiusd' then @
<IP-адрес коллектора>:<порт коллектора>
Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:
If $programname contains 'radiusd' then @@
<IP-адрес коллектора>:<порт коллектора>
- Создайте резервную копию файла /etc/rsyslog.conf.
- В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:
$IncludeConfig /etc/FreeRADIUS-to-siem.conf
$RepeatedMsgReduction off
- Сохраните внесенные изменения.
- Перезапустите службу rsyslog, выполнив следующую команду:
sudo systemctl restart rsyslog.service
Передача событий от сервера FreeRADIUS в коллектор KUMA будет настроена.
В начало