Kaspersky Unified Monitoring and Analysis Platform

Настройка получения событий FreeRADIUS

Вы можете настроить получение событий программы FreeRADIUS версии 3.0.26 в

KUMA.

Настройка получения событий состоит из следующих этапов:

  1. Настройка аудита событий FreeRADIUS.
  2. Настройка Syslog-сервера для отправки событий FreeRADIUS.
  3. Создание коллектора KUMA для получения событий FreeRADIUS.

    Для получения событий FreeRADIUS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] FreeRADIUS syslog, на шаге Транспорт выберите тип коннектора tcp или udp.

  4. Установка коллектора KUMA для получения событий FreeRADIUS.
  5. Проверка поступления событий FreeRADIUS в коллектор KUMA.

    Вы можете проверить, что настройка сервера источника событий FreeRADIUS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало
[Topic 265491]

Настройка аудита событий FreeRADIUS

Чтобы настроить аудит событий в системе FreeRADIUS:

  1. Подключитесь к серверу, на котором установлена система FreeRADIUS, под учётной записью, обладающей административными привилегиями.
  2. Создайте резервную копию конфигурационного файла FreeRADIUS с помощью команды:

    sudo cp /etc/freeradius/3.0/radiusd.conf /etc/freeradius /3.0/radiusd.conf.bak

  3. Откройте конфигурационный файл FreeRADIUS для редактирования с помощью команды:

    sudo nano /etc/freeradius/3.0/radiusd.conf

  4. В секции log измените параметры следующим образом:

    destination = syslog

    syslog_facility = daemon

    stripped_names = no

    auth = yes

    auth_badpass = yes

    auth_goodpass = yes

  5. Сохраните конфигурационный файл.

Аудит событий FreeRADIUS будет настроен.

В начало
[Topic 265492]

Настройка Syslog-сервера для отправки событий FreeRADIUS

Для передачи событий от сервера FreeRADIUS в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлен FreeRADIUS, в коллектор:

  1. В каталоге /etc/rsyslog.d/ создайте файл FreeRADIUS-to-siem.conf и добавьте в него следующую строку:

    If $programname contains 'radiusd' then @<IP-адрес коллектора>:<порт коллектора>

    Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

    If $programname contains 'radiusd' then @@<IP-адрес коллектора>:<порт коллектора>

  2. Создайте резервную копию файла /etc/rsyslog.conf.
  3. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

    $IncludeConfig /etc/FreeRADIUS-to-siem.conf

    $RepeatedMsgReduction off

  4. Сохраните внесенные изменения.
  5. Перезапустите службу rsyslog, выполнив следующую команду:

    sudo systemctl restart rsyslog.service

Передача событий от сервера FreeRADIUS в коллектор KUMA будет настроена.

В начало
[Topic 265493]