Network
Подключение сетевых источников событий: маршрутизаторы, коммутаторы, FW, NGFW и т.п.
- Usergate
- ViPNet Coordinator
- Ideco UTM
- Cisco IOS
- FortiGate (CEF)
- Check Point NGFW (CEF)
- FortiGate-FortiAnalyzer (CEF)
- Континент версия 4
- Mikrotik
Usergate
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка Usergate
Для настройки отправки событий с Usergate в KUMA выполните следующие действия:
1. В веб-интерфейсе Usergate перейдите на вкладку Журналы и отчеты.
2. Выберите Экспорт журналов и нажмите кнопку Добавить.
3. На вкладке Общие поставьте галочку напротив параметра Включено и задайте имя правилу экспорта журналов.
4. На вкладке Удаленный сервер задайте следующие настройки:
- Тип сервера - Syslog
- Адрес - коллектора KUMA
- Порт - порт коллектора KUMA
- Транспорт - UDP или TCP (настройка должна совпадать с настройками коллектора KUMA).
- Протокол - Syslog (RFC 5424).
- Критичность и Объект выберите в соответствии с потребностями в логировании.
В поле Имя хоста по умолчанию указано имя хоста Usergate с символом @. Замените символ «@» на символ «.» для корректной нормализации событий Usergate на стороне KUMA.
5. На вкладке Журналы для экспорта поставьте галочки напротив Журналов, которые необходимо экспортировать в KUMA. Для каждого экспортируемого журнала выберите Формат CEF.
6. Сохраните внесенные изменения.
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Usergate.
2. На шаге Парсинг событий выберите нормализатор [OOTB] Syslog-CEF.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Экспорт журналов (документация UserGate): https://docs.usergate.com/eksport-zhurnalov_178.html
ViPNet Coordinator
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка ViPNet Coordinator
Для отправки событий ViPNet Coordinator в KUMA выполните следующее:
1. Подключитесь к консоли ViPNet Coordinator локально или через ssh.
2. Перейдите режим в Администратора с помощью следующей команды:
enable
3. Из командной строки в режиме Администратора выполните команду:
machine set loghost <ip-адрес коллектора KUMA>
После выполненных настроек ViPNet Coordinator будет отправлять системный журнал на адрес коллектора KUMA по протоколу UDP и 514-му порту.
В случае если коллектор KUMA является открытым узлом по отношению к ViPNet Coordinator, то также необходимо создать фильтр открытой сети, разрешающий исходящий трафик по протоколу UDP на 514-й порт коллектора KUMA.
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий ViPNet Coordinator.
1. На шаге Транспорт укажите тип UDP и порт 514.
2. На шаге Парсинг событий выберите нормализатор [OOTB] VipNet Coordinator syslog.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Дополнительная настройка коллектора
После установки коллектора, необходимо внести изменения в файл сервиса коллектора для того, чтобы коллектор мог слушать входящие соединения на порту 514.
Для этого выполните следующие действия:
1. Остановите выполнение сервиса коллектора командой
systemctl stop kuma-collector-<id>
2. Откройте на редактирование файл коллектора /usr/lib/systemd/system/kuma-collector-<id>.service
3. В разделе [Service] добавьте следующую строку
AmbientCapabilities=CAP_NET_BIND_SERVICE
4. Сохраните полученный файл
5. Обновите параметры сервисов следующей командой
systemctl daemon-reload
6. Запустите службу коллектора следующей командой
systemctl start kuma-collector-<id>
Ideco UTM
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm
Настройка Ideco UTM
Для передачи событий из Ideco UTM в KUMA выполните следующие действия:
1. Подключитесь к веб-интерфейсу Ideco UTM под учётной записью, обладающей административными привилегиями.
2. В меню Пересылка системных сообщений переведите переключатель Syslog в положение включено.
3. В параметре IP-адрес укажите IP-адрес коллектора KUMA.
4. В параметре Порт введите порт, который прослушивает коллектор KUMA.
5. Нажмите Сохранить для применения внесённых изменений.
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Ideco UTM.
1. На шаге Транспорт укажите тип UDP и порт в соответствии с настройками на стороне Ideco UTM.
2. На шаге Парсинг событий выберите нормализатор [OOTB] Ideco UTM syslog.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка получения событий Ideco UTM (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm
Расшифровка передаваемых логов: https://docs.ideco.dev/settings/monitor/syslog
Cisco IOS
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка Cisco IOS
Войдите на источник Cisco IOS коммутатор или маршрутизатор.
Введите следующую команду для входа в маршрутизатор в привилегированный режим: enable
Переключитесь в режим конфигурации (configure terminal):
conf t
Перед включением ведения журнала убедитесь, что ваш маршрутизатор правильно настроен для получения времени от сервера NTP, или настройте его вручную, чтобы получать время. Используйте команду set clock
или ntp server x.x.x.x
для синхронизации часов.
Включите журналирование:
logging on
Укажите IP-адрес коллектора и порт (можно использовать UDP или TCP транспорт):
logging host <IP-адрес коллектора> transport udp port <порт коллектора>
Укажите уровень важности событий (рекомендуется informational):
logging trap informational
Уровни критичности в CISCO:
Level Keyword |
Level |
Description |
Syslog Definition |
emergencies |
0 |
Система нестабильна |
LOG_EMERG |
alerts |
1 |
Требуются немедленные действия |
LOG_ALERT |
critical |
2 |
Критические условия |
LOG_CRIT |
errors |
3 |
Условия ошибки (по умолчанию) |
LOG_ERR |
warnings |
4 |
Условия предупреждения |
LOG_WARNING |
notifications |
5 |
Нормальное, но значимое состояние |
LOG_NOTICE |
informational |
6 |
Только информационные сообщения |
LOG_INFO |
debugging |
7 |
Отладка сообщений |
LOG_DEBUG |
Укажите интерфейса источника для отправки событий:
logging source-interface <Имя интерфейса>
<Имя интерфейса> - это имя интерфейса, например, dmz, lan, ethernet0 или ethernet1.
Настройте средство для системного журнала:
logging facility syslog
Настройте идентификатор событий:
logging origin-id ip
Настройте временные метки событий и идентификаторы событий в логировании:
service timestamps log datetime year show-timezone
service sequence numbers
Маршрутизатор по умолчанию не проверяет, авторизован ли пользователь в консольном порту или к нему подключено устройство; если ведение журнала консоли включено, на консольный порт всегда отправляются сообщения, которые могут вызвать нагрузку на процессор. Поэтому ниже включим логирование только необходимых событий. (вместо включения logging console warning
)
Включите регистрацию событий входа пользователей:
logging userinfo
login on-success log
login on-failure log
ip ssh logging events
Включите регистрацию событий выполнения конфигурационных команд:
archive
log config
logging enable
notify syslog contenttype plaintext
Опционально. Включите регистрацию событий VPN:
crypto logging ezvpn
crypto logging session
crypto logging ikev2
Выйдите из режима конфигурирования:
end
Сохраните изменения даже после перезагрузки:
на старых Cisco:
write memory
на новых Cisco (копирование рабочей конфигурации):
copy running-config startup-config
Чтобы отобразить состояние системного журнала (syslog) и содержимое стандартного буфера сообщений системного журнала, используйте команду из привилегированного режима:
show logging
FortiGate (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий с FortiGate необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:
- На шаге Подключение источников укажите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип и Порт (данные параметры должны соответствовать настройкам на стороне FortiGate: set mode и set port соответственно)
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
- На шаге Парсинг событий укажите нормализатор. Рекомендуется использовать предустановленный нормализатор [OOTB] Syslog-CEF (https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/255782.htm).
Если планируете использовать правила корреляции для FortiGate из Community-Pack необходимо использовать нормализатор [2024-04-22] FortiGate Syslog-CEF, также доступный в Community-Pack
- Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также корреляция по событиям добавьте точку назначения типа Коррелятор.
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root).
Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent
firewall-cmd --reload
После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на зеленый.
Настройка FortiGate
Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:
- Подключитесь к CLI FortiGate по SSH
- Перейдите в секцию настройки параметров Syslog:
config log syslogd setting
- Выполните настройку параметров Syslog:
set status enable # включить отправку событий на удаленный Syslog-сервер
set server <IP-адреса сервера-коллектора KUMA>
set mode udp # отправлять события по UDP
set port <порт, заданный в параметрах коллектора KUMA>
set source-ip <IP-адрес FortiGate> # IP-адрес, который будет использоваться в качестве Source IP при взаимодействии c коллектором KUMA [опционально]
set format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMA с помощью команды set interface <наименование интерфейса> [опционально]
end
Проверка поступления событий FortiGate в KUMA
Для проверки, что сбор событий с FortiGate успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор для FortiGate и нажмите Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события с FortiGate.
Полезные ссылки
Отправка событий в формате CEF - https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiGate-Logs-can-be-sent-to-syslog-servers-in/ta-p/190617
Check Point NGFW (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:
- На шаге Подключение источников укажите Название коллектора и Тенант, которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису)
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
Указанные параметры должны соответствовать настройкам на стороне Check Point
- На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор.
Рекомендуется скопировать предустановленный нормализатор [OOTB] CEF, добавив в Основном парсинге событий в Обогащение обогащение константой CheckPoint на поле DeviceProduct (для корректной работы SOC и Community корреляционных правил)
- Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).
Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload
После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.
Настройка Check Point NGFW
Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:
- С помощью SmartConsole (начиная с версии R81)
- В CLI
SmartConsole
- Создайте новый объект Log Exporter/SIEM:
- Выберите Objects > More object types > Server > Log Exporter/SIEM
- В поле Object Name введите имя для создаваемого объекта Log Exporter
- Перейдите во вкладку General:
- В секции Export Configuration активируйте флаг Enabled
- В секции Server Configuration:
- В поле Target Server укажите IP-адрес или FQDN сервера коллектора KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)
- В поле Target Port укажите порт, указанный на шаге Транспорт при создании сервиса коллектора
- В поле Protocol выберите протокол (TCP или UDP), указанный на шаге Транспорт при создании сервиса коллектора
- Перейдите во вкладку Data Manipulation:
- В поле Format выберите Common Event Format (CEF)
- (Опционально) активируйте флаг Aggregate log updates before export для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.
- (Опционально) Перейдите во вкладку Attachments:
- Активируйте флаги
- Add link to Log Details in SmartView
- Add link to Log Attachment in SmartView
- Add Log Attachment ID
- Активируйте флаги
- Нажмите ОК
- Выполните настройку параметров объекта Management Server или Dedicated Log Server / SmartEvent Server:
- В навигационной панели слева выберите Gateways & Servers
- Откройте объект Management Server or Dedicated Log Server / SmartEvent Server
- Слева выберите Logs > Export
- Нажмите [+] и выберите объект Log Exporter / SIEM, созданный ранее
- Нажмите OK
- Нажмите Menu > Install database
- Выберите все объекты
- Нажмите Install
CLI
- Подключитесь к Management Server / Log Server
- Перейдите в режим Expert
- Настройте параметры Log Exporter
cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef
- Запустите новый инстанс Log Exporter
cp_log_export restart name <Наименование конфигурации>
Проверка поступления событий Check Point NGFW в KUMA
Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор Check Point NGFW > ПКМ > Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события Check Point NGFW.
Полезные ссылки
Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323
Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192
FortiGate-FortiAnalyzer (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
FortiAnalyzer — это аналитическая платформа для управления событиями, журналами и формирования отчетности, разработанная компанией Fortinet. В данной статье рассматривается настройка отправки событий FortiGate, которые централизованно собираются и хранятся в FortiAnalyzer.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий FortiGate, отправляемых с FortiAnalyzer, необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:
- На шаге Подключение источников укажите Название коллектора и Тенант, которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису).
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
Указанные параметры должны соответствовать настройкам на стороне FortiAnalyzer
- На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать community-нормализатор FortiGate-FortiAnalyzer (CEF). Как альтернативный вариант, можно использовать предустановленный нормализатор [OOTB] CEF, но данный нормализатор не обеспечивает парсинг специфичных полей FortiGate, например, virus, attack и других.
- Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).
Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload
После успешной установки сервиса в столбце Статус в веб-интерфейсе KUMA появится зеленая индикация.
Настройка FortiAnalyzer
Пересылка событий FortiGate в KUMA выполняется средствами механизма Log Forwarding, доступного в FortiAnalyzer. Для настройки пересылки в веб-интерфейсе FortiAnalyzer:
- Перейдите в System Settings > Log Forwarding
- Нажмите Create New
- В появившемся окне Create New Log Forwarding укажите:
- Name - KUMA CEF
- Status - Включено
- Remote Server Type - Common Event Format (CEF)
- Server FQDN/IP - <IP-адрес или FQDN сервера коллектора KUMA>
- Server Port - <Укажите порт, указанный на шаге Транспорт при создании сервиса коллектора>
- Reliable Connection - Включено
- Опционально фильтры в секции Log Forwarding Filters
- Нажмите ОК
- Убедитесь, что параметры нового сервера для пересылки событий сохранены.
Проверка поступления событий FortiGate в KUMA
Для проверки, что пересылка событий FortiGate с FortiAnalyzer успешно настроена перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор FortiGate-FortiAnalyzer > ПКМ > Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события FortiGate.
Полезные ссылки
- Настройка пересылки событий с помощью Log Forwarding: https://docs.fortinet.com/document/fortianalyzer/7.2.9/administration-guide/621804/log-forwarding
- Описание типов и полей событий FortiGate: https://docs.fortinet.com/document/fortigate/7.2.8/fortios-log-message-reference/search
Континент версия 4
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройки Континента
Откройте Менеджер конфигурации Континента.
В настройках узла безопасности раскройте пункт Журналирование и оповещение, затем нажмите и пропишете IP адрес и порт коллектора KUMA, рекомендуется использовать протокол TCP.
Уровени детализации журнала в Континенте (Рекомендуемый уровень детализации Высокий):
Уровень детализации журнала | Уровень важности события |
Отладочный | Отладка (DEBUG) |
Минимальный | Информация (INFO) |
Низкий | Ошибка (ERR) |
Средний | Критическая ошибка (CRIT) |
Высокий | Тревога (ALERT) |
Предустановленный | Предупреждение (Warning) |
Пример настройки ниже:
Нажмите Применить и ОК.
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Континента.
2. На шаге Парсинг событий выберите нормализатор [2024-05-03] Unix AuditD (REGEX) из папки нормализоторов Community-Pack.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Справка по Континенту версия 4 - тут
Статья в HABR по интеграции Континента и KUMA - https://habr.com/ru/companies/tssolution/articles/792078/
Mikrotik
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Инструкция применима для MikroTik с RouterOS 6 и 7+
Настройка Mikrotik
Настройка может выполняется с помощью WinBox (рассматривается этот метод), либо через веб-интерфейс MikroTik RouterOS под учетной записью с правами администратора или через командную строку.
Перейдите в раздел System - Logging, во вкладке Actions добавляем новый элемент (по умолчанию используется протокол UDP):
Cохраните настройку, нажав Apply и OK.
Настройка через командную строку:
/system logging action
/system/logging/action> add bsd-syslog=yes name=kuma remote=(KUMA_IP) remote=KUMA_PORT syslog-facility=syslog target=remote
Каждое событие в журналах Mikrotik может находиться одновременно в разных Topics, пример ниже:
В правилах логирования необходимо укаказать Topics, не пересекающиеся в других правилах. Иными словами, нужно создать отдельные правила с указанием отдельных Topics и если необходимо указать исключения, для категорий событий, которые не нужно отправлять на коллектора, установите флаг ! перед Topics. В раскрывающемся списке Action выберите созданное ранее действие kuma, затем нажмите ОК.
Настройка через командную строку:
/system logging
add topics=critical prefix=critical action=kuma
При включении определенных Topics, особенно firewall может возрастать нагрузка на МЭ MikroTik, обращайте внимание на нагрузку системы после влючения логирования, особенно это касается моделей со слабой аппаратной начинкой
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий MikroTik.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне MikroTik.
2. На шаге Парсинг событий выберите нормализатор [OOTB] MikroTik syslog.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.