Агент Syslog
Syslog — это стандарт отправки и регистрации сообщений о происходящих в системе событиях. Как правило, сервер, поддерживающий этот протокол, используется для централизованного хранения записей аудита, настройки триггеров на события аудита, корреляции событий.
Чтобы реализовать работу с протоколом syslog, необходимо установить специализированный агент, который будет перенаправлять сообщения аудита с сервера аутентификации в сервер syslog.
Обмен данными при интеграции агента syslog с сервером syslog происходит следующим образом:
- Событие аудита формирует POST-запрос, который отправляется в агент по протоколу HTTPS.
- Агент выполняет анализ содержимого, чтобы определить, на какие серверы syslog необходимо отправить сообщение.
- Сообщение отправляется на все указанные серверы syslog по протоколу UDP.
Для корректного обмена данных между сервисом MFA и сервером syslog необходимо, чтобы сервер был доступен из внешней сети. Подробнее читайте в инструкции Доступ к серверу syslog.
Настройка в сервисе MFA
В консоли администрирования сервиса MFA для каждого виртуального сервера, с которого вы планируете отправлять события на syslog-сервер, укажите информацию о syslog-агентах.
Для этого:
- Войдите в консоль с учетными данными оператора виртуального сервера.
- Выберите сервер на вкладке Виртуальные серверы.
- Выберите вкладку второго ряда Настройки.
- Раскройте панель Настройки syslog агента.
- Активируйте опцию Включить Syslog agent.
- Укажите значения параметров и сохраните изменения.
Описание параметров
| Параметр | Описание |
|---|---|
| GUID | Идентификатор агента syslog. |
| Обновить GUID | Операция обновления агента syslog. |
| Адрес syslog агента №1 | Адрес syslog-агента №1. |
| Адрес syslog агента №2 | Адрес syslog-агента №2. |
| Порт syslog агента №1 | Порт syslog-агента №1 (порт сервиса 8443). В случае использования пробросов портов значение порта должно быть изменено. |
| Порт syslog агента №2 | Порт syslog-агента №2 (порт сервиса 8443). В случае использования пробросов портов значение порта должно быть изменено. |
| Время переключения на первый syslog-агент при условии его недоступности и переключения на резервный | Время попытки восстановления на первый агент после его недоступности (в секундах). |
| Время ожидания ответа | Время ожидания ответа HTTPS-запроса от агента syslog. |
| Верификация SSL | Верификация сертификата при HTTPS-запросе (корневой сертификат должен находиться в локальном хранилище сертификата Docker). |
| Регистрация действий пользователей | Сервис MFA будет отправлять сообщения аудита, связанные с действиями пользователя, в агент syslog. Список событий эквивалентен списку событий, отображаемых на вкладке Аудит. |
| Регистрация действий администраторов | Сервис MFA будет отправлять сообщения аудита, связанные с действиями администратора, в агент syslog. Список событий эквивалентен списку событий, отображаемых на вкладке Аудит менеджеров. |
| Регистрация ошибок сервисов | Сервис MFA будет отправлять сообщения аудита, связанные с недоступностью сервисов SMS, SMTP, Telegram, в агент syslog. |
Настройка агента
Чтобы интегрировать сервис MFA и агент syslog, внесите актуальные значения в файл конфигурации агента.
Файл конфигурации позволяет задавать несколько агентов, например когда требуется отправлять записи аудита с нескольких виртуальных серверов.
Для этого:
- Скопируйте файл config.py из дистрибутива SLA на машину, где будет развернут агент.
- В параметре
SYSLOG_CONFIGукажите идентификаторы агентов из консоли администрирования в разделе Виртуальные серверы→Имя сервера→Настройки→Настройки syslog агента и список адресов syslog-серверов:
SYSLOG_CONFIG = {
"157472f243d7c3209ff5fcb5f6cedc98": ["127.0.0.1", 514, "10.0.0.10", 514],
"227472f243d7c3209ff5fcb5f6cedc99": ["127.0.0.1", 514, "10.0.0.11", 514]
}
Список syslog-серверов включает в себя последовательно:
- адрес первого syslog-сервера,
- порт первого syslog-сервера,
- адрес второго syslog-сервера,
- порт второго syslog-сервера.
Если вы используете один syslog-сервер, указывайте только его данные.
Если указаны параметры для двух syslog-серверов, сообщения аудита отправляются на оба указанных сервера.
Развертывание агента syslog
Чтобы развернуть агент, выполните:
- Запустите сервис Docker:
# systemctl start docker
- Скопируйте образ на машину и разверните его:
# docker load -i sla-1.12.070725-indeed.tar.gz
- Создайте и запустите контейнер, выбрав ему имя и указав пути к файлам конфигурации:
docker run -d --network host --name sla --restart always \
-e TZ=Europe/Moscow \
-v /opt/indeed/sla/indeed.pem:/etc/ssl/certs/indeed.pem \
-v /opt/indeed/sla/indeed.key:/etc/ssl/private/indeed.key \
-v /opt/indeed/sla/config.py:/var/www/indeed/app/config.py \
-t sla:1.12.070725-indeed
Контейнер Docker по умолчанию прослушивает порт 8443 и принимает запросы по HTTPS-протоколу. Образ Docker может быть также развернут в конфигурации сетевого интерфейса в режиме bridge.
Доступ к серверу syslog
Чтобы обеспечить возможность обмена данными между сервисом MFA и сервером syslog, опубликуйте сервер syslog во внешнюю сеть средствами NAT, Reverse Proxy или прочими. Стандартный порт — TCP 8443.
Проверка
Чтобы проверить корректную работу агента и syslog-сервера, в консоли администрирования в раздела Настройки syslog-агента нажмите Тест для каждого агента. Тестовое сообщение должно быть успешно отправлено в syslog-сервер.