Отправка событий через Syslog

Настройка отправки телеметрии и алертов через Syslog является опциональной.

Особенности приемников

Обратите внимание на параметр mandatory_sending_to_all (значение по умолчанию false) в event_connectors.

Если его выставить в true, то событие будет считаться отправленным успешно только в случае, если получится отправить его во все включенные приемники.

Если один из приемников на момент отправки окажется недоступен, то событие будет считаться недоставленным, и сгенерировавший событие агент будет пытаться отправить его повторно. Включение данного параметра увеличивает надежность, но создает риски задержек и массовых переотправок событий в случае, если подключение к одному их приимников не стабильно.

При запуске Сервер управления EDR выполняет проверку доступности всех приемников в статусе enabled=true. Если на момент запуска Сервера управления приемник будет не доступен, то Сервер управления не сможет запуститься. В журнале будет соответствующая ошибка. Если связь с приемником будет потеряна после запуска Сервера управления, то это не приведет к его остановке, Сервер управления продолжит работу.

Создание дополнительных приемников

  1. Откройте на редактирование конфигурационный файл /opt/BI.Zone/BZ_Sensors/Server/config.toml.

  2. Перейдите в раздел event_connectors → event_connectors.syslog.

  3. Скопируйте секцию event_connectors.syslog.syslog_name.

  4. Вставьте секцию в конец подраздела event_connectors.syslog.

  5. Проверьте, что параметр enabled внутри секции установлен в true, иначе приемник будет считаться выключенным и его нельзя будет выбрать для отправки в веб-интерфейсе BI.ZONE EDR.

  6. Отредактируйте имена секций event_connectors.syslog.syslog_name таким образом, чтобы в дальнейшем можно было безошибочно дифференцировать их в веб-интерфейсе BI.ZONE EDR. Примечание: названия секций должны различаться (в противном случае сервер не запустится).

  7. Проверьте адрес и порт приемника, указанный в destination.

    Примечание: указание нескольких адресов в строке недопустимо.

  8. Проверьте используемый протокол в параметре protocol.

    Примечание: поддерживаются UDP и TCP. Для UDP существуют ограничения на максимальный размер пакета (события), он ограничен размером MTU. Ограничений для TCP нет.

    В случае использования syslog TCP, есть возможность так же использовать SSL подключение, изменив соответствующий параметр security_protocol. При использовании SSL шифрования, так же требуется дополнительно укзать параметры ssl_certificate_location, ssl_key_location, ssl_key_password.

    Для добавления дополнительных приемников, повторить п.3-8 для каждого нового приемника.

  9. Сохраните и закройте файл /opt/BI.Zone/BZ_Sensors/Server/config.toml.

  10. Для применения конфигурации, требуется перезагрузить Сервер управления командой:

    systemctl restart bzserver

  11. Проверьте запуск Сервера управления в новой конфигурации:

    journalct -eu bzserver

    Примечание: откроется журнал службы для проверки отсутствия ошибок.

Выбор дополнительных приемников

  1. Перейдите в веб-интерфейс BI.ZONE EDR.

  2. Перейдите в раздел Задачи.

  3. Найдите задачу с типом EDR [ОС] - Monitoring.

  4. Откройте задачу на редактирование.

  5. Перейдите к секции Куда отправлять результат.

  6. В выпадающем списке выберите необходимый syslog-приемник.

При необходимости повторите шаги для остальных задач EDR для соответствующих операционных систем. После сохранения задачи Сервер управления будет отправлять соответствующие события в выбранные приемники. Перезапускать задачу не требуется.