Содержание
Настройка получения событий CommuniGate Pro
Вы можете настроить получение событий системы CommuniGate Pro 6.1 в KUMA. Интеграция возможна только при отправке событий по syslog с использованием протокола TCP. Ресурсы, описанные в этой статье, доступны для KUMA 3.0 и более новых версий. Поддерживается обработка событий модуля SIP (события содержат последовательность символов "SIPDATA").
Настройка получения событий состоит из следующих этапов:
- Настройка CommuniGate Pro для отправки событий.
- Настройка коллектора KUMA для получения событий CommuniGate Pro.
- Проверка поступления событий CommuniGate Pro в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий CommuniGate Pro выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.
Система CommuniGate Pro формирует событие аудита в виде нескольких отдельных записей, которые выглядят следующим образом:
<код события> временная отметка идентификатор направление: информация из базового события 1
<код события> временная отметка идентификатор направление: информация из базового события 2
<код события> временная отметка идентификатор направление: основная информация n
Для обработки событий системы CommuniGate Pro используется набор ресурсов KUMA, который необходимо применить при создании коллектора:
- Нормализатор.
- Правило агрегации.
- Фильтры для точек назначения.
В процессе работы коллектора многострочные базовые события будут агрегированы на основе идентификатора событий, нормализованы, и одно событие будет направлено в хранилище и коррелятор.
Агрегированное событие примет следующий вид:
Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n
После агрегации полученное событие будет направлено в этот же коллектор, где будет выполняться нормализация агрегированного события.
Алгоритм обработки события системы CommuniGate Pro
Для обработки события системы CommuniGate Pro был реализован следующий алгоритм:
- Первичная нормализация.
На этом этапе выполняется первичная нормализация базовых событий. Первым символом в базовом событии является число. События приводятся к формату, пригодному для последующей агрегации: из события выделяется первый символ и размещается в поле DeviceCustomString1, идентификатор размещается в поле ExternalID, имя хоста размещается в поле DeviceHostName. Базовая нормализация выполняется в основном нормализаторе.
- Проверка на агрегацию.
Выполняется проверка, является ли событие агрегированным. В результате проверки к неагрегированным событиям (первый символ события является числом) применяется правило агрегации, а затемагрегированные события направляются на повторную нормализацию. Агрегация выполняется с помощью правила «[OOTB] CommuniGate Pro. Aggregation rule».
- Применение правила агрегации.
На этом этапе к событиям применяется правило агрегации, базовые события "склеиваются" и принимают следующий вид:
Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n.
После выполнения агрегации "склеенное" событие направляется обратно в этот же коллектор для выполнения нормализации агрегированного события.
Чтобы замкнуть цикл обработки события, следует указать тот же самый коллектор в качестве точки назначения. На схеме точка назначения названа "Loop", чтобы обозначить цикл обработки события. Вы можете назвать точку назначения произвольным именем.
- Нормализация агрегированного события.
Нормализация агрегированного события. начинающегося с символа "{", выполняется в экстранормализаторах Aggregated events, Aggregated events - kv part.
- Отправка в хранилище и коррелятор.
Агрегированные и нормализованные события отправляются в хранилище и коррелятор.
На следующем рисунке представлена схема обработки событий от системы CommuniGate Pro.
Настройка CommuniGate Pro для отправки событий
События аудита системы CommuniGate Pro по умолчанию направляются в директорию /var/CommuniGate/SystemLogs/ в файлы журналов с расширением .log.
Для отправки событий в KUMA необходимо установить на сервер CommuniGate Pro агент KUMA и настроить чтение файлов с расширением .log из директории /var/CommuniGate/SystemLogs/ и отправку по протоколу TCP в коллектор KUMA.
Чтобы создать агент, который будет выполнять чтение и передачу в KUMA событий:
- В веб-консоли KUMA перейдите в раздел Ресурсы и сервисы → Агенты и нажмите Добавить.
- В открывшемся окне Создание агента на вкладке Основные параметры в поле Название укажите название агента.
- На вкладке Подключение №1 заполните следующие поля:
- В блоке параметров Коннектор на вкладке Основные параметры задайте следующие значения для коннектора:
- В поле Название укажите название, например, CommuniGate file.
- В раскрывающемся списке Тип выберите значение file.
- В поле Путь к файлу укажите значение:
/var/CommuniGate/SystemLogs/.*.log
- В блоке параметров Точки назначения на вкладке Основные параметры задайте следующие значения для точки назначения:
- В поле Название укажите название, например, CommuniGate TCP collector.
- В раскрывающемся списке Тип выберите значение tcp.
- В поле URL укажите FQDN или IP-адрес и порт коллектора KUMA.
- В блоке параметров Коннектор на вкладке Основные параметры задайте следующие значения для коннектора:
- Нажмите на кнопку Создать.
- После того как сервис агента создан в KUMA, следует установить агент на устройствах сетевой инфраструктуры, с которых вы хотите передавать данные в коллектор.
Настройка коллектора KUMA для получения и обработки событий CommuniGate Pro
Чтобы настроить коллектор KUMA для получения событий CommuniGate Pro:
- Импортируйте пакет [OOTB] CommuniGate Pro из репозитория KUMA. Пакет доступен для KUMA 3.0 и более новых версий.
- Создайте новый коллектор и в мастере установки коллектора настройте следующие параметры:
- На шаге Транспорт в поле Тип выберите тип tcp, в поле URL укажите FQDN или IP-адрес и порт коллектора.
- На шаге Парсинг событий нажмите Добавить парсинг событий и в открывшемся окне Основной парсинг событий в раскрывающемся списке Нормализатор выберите нормализатор [OOTB] CommuniGate Pro.
- На шаге Агрегация событий нажмите Добавить правило агрегации и в открывшемся окне Агрегация событий в раскрывающемся списке Правило агрегации выберите правило агрегации [OOTB] CommuniGate Pro. Aggreation rule.
- На шаге Маршрутизация нажмите Добавить и в открывшемся окне Создание точки назначения последовательно создайте три точки назначения: этот же коллектор с именем "Loop", хранилище и коррелятор.
- Создайте точку назначения с именем "Loop" со следующими параметрами:
- На вкладке Основные параметры в раскрывающемся списке Тип выберите тип транспорта tcp, в поле URL укажите FQDN или IP-адрес и порт коллектора, указанные ранее на шаге 2.1 этой инструкции.
- На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр [OOTB] CommuniGate Pro. Filter for event aggregation.
Настройка этих параметров необходима для отправки агрегированного события в тот же самый коллектор для дальнейшей нормализации.
- Создайте точку назначения коррелятора:
- На вкладке Основные параметры в раскрывающемся списке Тип выберите correlator и заполните поле URL.
- На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр [OOTB] CommuniGate Pro. Aggregated events to storage and correlator.
- Создайте точку назначения хранилища:
- На вкладке Основные параметры в раскрывающемся списке Тип выберите storage и заполните поле URL.
- На вкладке Дополнительные параметры в раскрывающемся списке Фильтр выберите фильтр [OOTB] CommuniGate Pro. Aggregated events to storage and correlator.
Настройка этих параметров необходима для отправки агрегированного нормализованного события в хранилище и коррелятор.
- Нажмите на кнопку Создать.
Сервис коллектора создан с заданными параметрами в веб-интерфейсе KUMA. На экране отобразится команда для установки сервиса на сервере.
- Скопируйте команду установки коллектора и выполните команду установки коллектора на нужном сервере.
Коллектор настроен для получения и обработки событий CommuniGate Pro.
В начало