Настройка передачи событий Angie

Чтобы настроить параметры передачи событий Angie:

  1. Проверьте синтаксис в конфигурационном файле на наличие ошибок, выполнив команду:

    sudo angie -t

    Если в конфигурационном файле синтаксические ошибки отсутствуют, Angie отобразит уведомления:

    angie: the configuration file /etc/angie/angie.conf syntax is ok

    angie: configuration file /etc/angie/angie.conf test is successful

    Если в конфигурационном файле будут найдены синтаксические ошибки, Angie сообщит, в чем заключается ошибка, например:

    angie: [emerg] "http" directive is not allowed here in etc/angie/http.d/angie-to-siem.conf:1

    angie: configuration file /etc/angie/angie.conf test failed

    Подробнее о синтаксисе конфигурационного файла см. в официальной документации Angie.

  2. Если проверка синтаксиса прошла успешно (получен результат test is successful), выполните резервное копирование исходного конфигурационного файла с помощью следующей команды:

    sudo cp /etc/angie/angie.conf /etc/angie/angie_backup.conf

  3. Откройте конфигурационный файл angie.conf, выполнив следующую команду:

    sudo vi /etc/angie/angie.conf

    Стандартный конфигурационный файл angie.conf по умолчанию располагается в директории /etc/angie.

    Если в работе веб-сервера Angie используется нестандартный конфигурационный файл, необходимо открыть именно его. Вы можете узнать текущее расположение этого файла с помощью следующей команды:

    sudo angie -V

    Расположение файла указано в параметре --config-path.

  4. Проверьте, что в контексте http указана директива include, которая разрешает управление конфигурацией с помощью дочерних конфигурационных файлов, выполнив следующую команду:

    include /etc/angie/http.d/*.conf

  5. Создайте конфигурационный файл angie-to-siem.conf в директории /etc/angie/http.d/ с помощью следующей команды:

    touch /etc/angie/http.d/angie-to-siem.conf

  6. Откройте конфигурационный файл angie-to-siem.conf, с помощью команды sudo vi /etc/angie/http.d/angie-to-siem.conf.
  7. В директиве log_format укажите формат отправляемых событий следующим образом:

    log_format syslog device_event_category=access_log|time=$time_iso8601|version=$angie_version|http_method=$request_method|req_body=$request_body|uri=$uri|abs_path=$request_filename|status_code=$status|srv_ip=$server_addr|srv_host=$server_name|srv_port=$server_port|srv_proxy_ip=$proxy_protocol_server_addr|srv_proxy_port=$proxy_protocol_server_port|client_ip=$remote_addr|client_port=$remote_port|client_user=$remote_user|client_proxy_ip=$proxy_protocol_addr|client_proxy_port=$proxy_protocol_port|http_context=$request|trace_id=$request_id|scheme=$scheme|bytes_out=$bytes_sent|worker_pid=$pid|user_agent=$http_user_agent|cookie=$http_cookie;

  8. В директиве access_log укажите способ отправки информации о событиях по протоколу Syslog следующим образом:

    access_log syslog:server=<IP_коллектора>:<порт> syslog

  9. Если также необходимо отправлять информацию о событиях с ошибками, добавьте строку с директивой error_log:

    error_log syslog:server=<IP_коллектора>:<порт>

    Формат сообщения из директивы error_log невозможно изменить и сообщение всегда передается в следующем виде:

    YYYY/MM/DD HH:MM:SS [LEVEL] PID#TID: *CID MESSAGE

    где:

    • YYYY/MM/DD – дата в формате год/месяц/день;
    • HH:MM:SS – время в формате часы:минуты:секунды;
    • [LEVEL] – уровень критичности ошибки;
    • PID#TID – идентификаторы процесса (англ. PID) и потока (англ. TID);
    • *CID – уникальный номер соединения (англ. Connection ID);
    • MESSAGE – текст сообщения об ошибке или предупреждении.
  10. Проверьте синтаксис в конфигурационном файле на наличие ошибок с помощью команды sudo angie -t, как описано в п.1 выше.
  11. Перезагрузите конфигурацию, выполнив следующую команду:

    sudo service angie reload

Передача событий из Angie настроена.

В начало