Сервис Syslog

Syslog – это стандарт отправки и регистрации сообщений о происходящих в системе событиях, используемый для удобства администрирования и обеспечения ИБ.

ARMA FW позволяет отправлять события безопасности модулей МЭ, СОВ, контроля промышленных протоколов, портала авторизации пользователей, а также системные события на внешний syslog-сервер или в SIEM-системы, а также в единый центр управления ARMA MC.

Процесс подключения ARMA FW к ARMA MC описан в разделе «Подключение к ARMA MC» Руководства администратора ARMA FW.

Настройка экспорта событий syslog

Для настройки экспорта событий необходимо выполнить следующие действия:

  1. Перейти в настройки экспорта событий системы («Система» - «Настройки» - «Экспорт событий») и во вкладке «Получатели» нажать кнопку «bttn.plus».

  1. В открывшейся форме (см. Рисунок – Добавление получателя внешнего syslog-сервера). установить флажок для параметра «Включен».

../../../_images/fw.rp.8.1.1.png

Рисунок – Добавление получателя внешнего syslog-сервера

  1. Выбрать значения параметров:

  • «Формат»;

  • «Транспортный протокол»;

  • «Приложения»;

  • «Уровни»;

  • «Категории».

В параметрах «Приложения», «Уровни» и «Категории» значение «Не выбрано» означает выбор всех значений.

  1. Задать доменное имя и порт удалённого syslog-сервера в параметрах «Имя хоста» и «Порт» соответственно. Номер порта рекомендуется изменять только в тех случаях, когда отправка сообщений от ARMA FW будет происходить через порт, заданный в настройках удалённого syslog-сервера и отличный от стандартного 514.

  2. Нажать кнопку «Сохранить», а затем нажать кнопку «Применить».

Проверка экспорта событий syslog

Для проверки работы экспорта событий необходимо выполнить подключение к syslog-серверу и удостовериться в наличии событий от ARMA FW. В качестве syslog-сервера возможно использовать стороннее ПО, например, «Visual Syslog», в примере ниже будет описано подключение к продукту ARMA МС.

Настройка экспорта событий в единый центр управления ARMA МС описана в руководстве пользователя по эксплуатации ARMA МС. События от ARMA FW отображаются в журнале событий ARMA МС («Журналы» - «События») (см. Рисунок – Журнал событий ARMA Management Console).

В ARMA FW просмотр информации о переданных сообщениях осуществляется во вкладке «Статические данные» подраздела настройки экспорта событий («Система» - «Настройки» - «Экспорт событий») (см. Рисунок – Система: Настройки: Экспорт событий: Статистические данные).

../../../_images/fw.rp.8.2.1.png

Рисунок – Журнал событий ARMA Management Console

../../../_images/fw.rp.8.2.2.png

Рисунок – Система: Настройки: Экспорт событий: Статистические данные