Содержание

Настройка получения событий АПКШ Континент

Настройка получения событий АПКШ Континент

В поставку KUMA входит утилита kuma-kont, которая состоит из исполняемого файла и файла конфигурации. Поддерживается работа под управлением операционных систем Astra Linux, Ubuntu 22.04 LTS и РЕД ОС 7.3.4 и 8. Утилита позволяет выполнить подключение к базе данных MSSQL, получать события АПКШ Континент и отправлять данные в коллектор KUMA в формате JSON. Импорт данных поддерживается для АПКШ Континент 3.9.2.

Настройка сбора из базы данных MSSQL событий АПКШ Континент и их отправка в коллектор KUMA состоит из следующих этапов:

Подготовительные действия для получения событий АПКШ Континент.
На данном этапе необходимо создать коллектор KUMA, который будут осуществлять прием событий, а также создать пользователя в базе данных MSSQL.
Настройка утилиты kuma-kont.
На данном этапе необходимо создать конфигурационный файл утилиты и сервис утилиты.
Запуск утилиты kuma-kont.
После активации утилита начнет выполнять экспорт событий из БД MSSQL и отправку в коллектор KUMA. Доступен журнал kuma-kont.log.

В этом разделе

Подготовительные действия для получения событий АПКШ Континент

Настройка утилиты kuma-kont

Запуск и управление сервисом утилиты kuma-kont

Параметры конфигурационного файла kuma-kont-config.yaml

В начало

Подготовительные действия для получения событий АПКШ Континент

Создание коллектора KUMA.
1. Создание коллектора KUMA для событий АПКШ Континент 3.9.
  Для получения событий аудита системы Континент 3.9 с помощью мастера установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] SecurityCode Continent 3.9 json. Также на вкладке Транспорт требуется задать порт и протокол, указанные в конфигурационном файле kuma-kont-config.yaml в группе параметров KUMA Collector.
2. Установка коллектора в сетевой инфраструктуре KUMA.
Создание учётной записи в СУБД MS SQL.
Создайте учетную запись в базе данных с минимально необходимым набором прав для подключения и чтения данных в таблицах: ALERTLOG, SERVERACCESSLOG, SYSTEMLOG, PACKETLOG, FILTERS.
Обеспечение сетевой связанности.
Необходимо обеспечить сетевую связанность между сервером, на котором работает утилита и сервером БД системы Континент, а также между сервером, на котором работает утилита и сервером коллектора KUMA.

В начало

Настройка утилиты kuma-kont

Настройка утилиты kuma-kont состоит из следующих этапов:

Создание конфигурационного файла kuma-kont-config.yaml.
Создание сервиса kuma-kont.

Создание конфигурационного файла kuma-kont-config.yaml

Чтобы создать конфигурационный файл kuma-kont-config.yaml:

Перейдите в директорию установщика KUMA, выполнив следующую команду:
cd kuma-ansible-installer/roles/kuma/files
Распакуйте архив kuma-kont.tar:
tar -xvf kuma-kont.tar
Перейдите в директорию с утилитой:
cd kuma-kont
Скопируйте шаблон kuma-kont-config-template.yaml и создайте конфигурационный файл с именем kuma-kont-config.yaml:
cp kuma-kont-config-template.yaml kuma-kont-config.yaml
Измените права на чтения для файла конфигурации:
sudo chown <учетная запись>:<учетная запись> kuma-kont-config.yaml

sudo chmod 600 kuma-kont-config.yaml

Замените <учетная запись> на имя пользователя операционной системы, от которого будет запускаться сервис.
Отредактируйте параметры конфигурационного файла kuma-kont-config.yaml.
Необходимо задать значения для следующих параметров:
- параметры группы General settings: state_file, log_file_path.
- параметры группы Kontinent Database: name, user, password, host, port.
- параметры группы KUMA Collector: address, port, protocol.
  Пример настройки параметров приведен в файле kuma-kont-config-template.yaml.
Сохраните изменения в файле.

Конфигурационный файл создан.

Создание сервиса

Чтобы создать сервис kuma-kont:

Измените права на запуск для исполняемого файла:
sudo chown <учетная запись>:<учетная запись> <путь к исполняемому файлу>

sudo chmod 700 <путь к исполняемому файлу>
Создайте файл с именем `kuma-kont.service` в директории /etc/systemd/system/ со следующим содержимым:
[Unit]

Description=Connector Kontinent 3.9

After=network.target

[Service]

User=<учетная запись>

ExecStart=<путь к исполняемому файлу> --config <путь к файлу конфигурации>

Restart=always

RestartSec=10

[Install]

WantedBy=multi-user.target

Замените <учетная запись> на имя пользователя операционной системы, от которого будет запускаться сервис.
Укажите путь к исполняемому файлу
Укажите путь к исполняемому файлу `kuma-kont ` в поле `ExecStart`.

Например, если файл `kuma-kont` находится в директории `/usr/bin/`, то оставьте значение по умолчанию.
Укажите путь к конфигурационному файлу
Укажите путь к конфигурационному файлу `kuma-kont-config.yaml` в поле `ExecStart`. Например, если файл `kuma-kont-config.yaml` находится в директории `/path/to/`, то укажите этот путь.

Пример файла `kuma-kont.service`

[Unit]

Description=Continent Service

After=network.target

[Service]

User=user-example

ExecStart=./usr/bin/kuma-kont --config /path/to/kuma-kont-config.yaml

Restart=always

RestartSec=10

[Install]

WantedBy=multi-user.target
Загрузите конфигурацию менеджера systemd, выполнив команду:
sudo systemctl daemon-reload
Добавьте сервис в автозагрузку операционной системы, выполнив команду:
sudo systemctl enable kuma-kont

Теперь утилита kuma-kont будет запускаться как сервис при загрузке системы.

В начало

Запуск и управление сервисом утилиты kuma-kont

Для запуска сервиса утилиты выполните команду:

sudo systemctl start kuma-kont

Будет начат сбор событий из базы данных MSSQL и их отправка в коллектор KUMA.

Управление сервисом утилиты осуществляется с помощью следующих команд:

Запуск сервиса kuma-kont:
sudo systemctl start kuma-kont
Остановка сервиса kuma-kont:
sudo systemctl stop kuma-kont
Перезапуск сервиса kuma-kont:
sudo systemctl restart kuma-kont

Также можно выполнить отправку событий с помощью утилиты kuma-kont, работающей как приложение. Чтобы начать отправку событий в коллектор KUMA необходимо выполнить следующую команду, находясь в директории с исполняемым файлом:

./kuma-kont --config <путь к файлу kuma-kont-config.yaml>

Поведение при потере соединения

Соединение с базой данных MSSQL.

При потере соединения с базой данных MSSQL утилита будет пытаться восстановить соединение с ним каждые n секунд (где n – равно значению параметра poll_interval, конфигурационного файла), до тех пор, пока соединение не будет восстановлено.

Соединение с коллектором KUMA.

В случае использования протокола TCP для отправки событий при потере соединения с коллектором KUMA утилита также будет пытаться его восстановить. Интервал между попытками установить соединение будет увеличиваться до тех пор, пока не достигнет одного часа, затем попытка установить соединение будет выполняться один раз в час.

Известные ограничения

Не полностью расшифровывается событие из таблицы AlertLog со значением «AL_CATEGORY» = 5.

В начало

Параметры конфигурационного файла kuma-kont-config.yaml

В таблице представлены параметры, доступные для настройки в файле kuma-kont-config.yaml.

Параметры конфигурационного файла kuma-kont-config.yaml

Параметр	Описание
`debug`	Необязательный параметр в группе General settings. Используется при необходимости вывода логов уровня отладки. При значении false, выводятся только сообщения о старте и завершении работы, а также ошибки, которые возникли в процессе отправки. Доступные значения: true false Значение по умолчанию: false.
`need_reconnect`	Необязательный параметр в группе General settings. Параметр определяет будет ли утилита выполнять переподключение к базе данных при каждом запросе. Доступные значения: true false Значение по умолчанию: false.
`state_file`	Обязательный параметр в группе General settings. Абсолютный путь к JSON-файлу, который используется для сохранения состояния обработанных логов. Файл создается автоматически по данному адресу. Убедитесь, что у пользователя достаточно прав на запись в эту директорию. Пример: /home/user/kuma-kont/state.json
`log_file_path`	Обязательный параметр в группе General settings. Абсолютный путь к файлу журналов для записи действий коннектора. Файл создается автоматически по данному адресу. Убедитесь, что у пользователя достаточно прав на запись в эту директорию. Пример: /home/user/kuma-kont/kuma-kont.log
`poll_interval`	Необязательный параметр в группе General settings. Интервал опроса базы данных. По умолчанию: 10 секунд При высоком потоке EPS мы не рекомендуем указывать значение выше 15 секунд.
`name`	Обязательный параметр в группе Kontinent Database. Названия базы данных, в которую приходят журналы АПКШ.
`user`	Обязательный параметр в группе Kontinent Database. Имя пользователя базы данных.
`password`	Обязательный параметр в группе Kontinent Database. Пароль пользователя базы данных.
`host`	Обязательный параметр в группе Kontinent Database. URL сервера базы данных.
`port`	Обязательный параметр в группе Kontinent Database. Порт сервера базы данных. Убедитесь, что он доступен с сервера, на котором установлена утилита.
`limit`	Необязательный параметр в группе Kontinent Database. Ограничение по количеству выгружаемых событий из базы данных за один раз. По умолчанию 100_000 событий за один опрос базы данных. Мы не рекомендуем указывать меньшее значение при высоком потоке EPS.
`alert_log`	Необязательный параметр в группе Last Id. Указывает на событие типа AlertLog, с которого необходимо начать отправлять события в коллектор KUMA. Работает только при первом запуске или при отсутствии файла состояния. По умолчанию: 0
`packet_log`	Необязательный параметр в группе Last Id. Указывает на событие типа PacketLog, с которого необходимо начать отправлять события в коллектор KUMA. Работает только при первом запуске или при отсутствии файла состояния. По умолчанию: 0
`server_access_log`	Необязательный параметр в группе Last Id. Указывает на событие типа ServerAccessLog, с которого необходимо начать отправлять события в коллектор KUMA. Работает только при первом запуске или при отсутствии файла состояния. По умолчанию: 0
`system_log`	Необязательный параметр в группе Last Id. Указывает на событие типа SystemLog, с которого необходимо начать отправлять события в коллектор KUMA. Работает только при первом запуске или при отсутствии файла состояния. По умолчанию: 0
`address`	Обязательный параметр в группе KUMA Collector. Полное доменное имя (FQDN) или IP-адрес сервера, на котором установлен коллектор KUMA.
`port`	Обязательный параметр в группе KUMA Collector. Порт коллектора KUMA.
`protocol`	Обязательный параметр в группе KUMA Collector. Протокол передачи данных, который используется в коллекторе KUMA. Если используется протокол udp, повторная отправка событий при потере соединения с коллектором KUMA не будет осуществлена. Доступные значения: tcp udp

В начало