Syslog

В разделе Настройки – Контроллер – Syslog доступно управление получателями сообщений в rsyslog, ArcSight logger и других системах, поддерживающих тип syslog и сef (common event format).

Для настройки необходимо нажать кнопку Добавление получателя.

В открывшемся окне необходимо выполнить следующие действия:

• Указать имя (1).

• Выбрать тип (2).

  Может принимать значения syslog и cef.

• Указать сетевой адрес (3).

• Указать порт (4).

• Выбрать уровень сообщений (5).

  Может принимать значения CRITICAL, ERROR, WARNING, INFO, DEBUG, NOTSET (5).

• Включить или выключить опцию События безопасности (6).

  Для отправки сообщений о событиях безопасности.

• Включить или выключить опцию Обычные события (7).

  Для отправки сообщений, не относящихся к событиям безопасности.

В окне также отображается информация о протоколе передачи сообщений.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

Выбор источника и уровня сообщений осуществляется в соответствии с правилами, принятыми для ОС семейства Linux:

• При уровне NOTSET будут отправляться все сообщения.

• Для других уровней будут отправляться сообщения указанного уровня и все сообщения уровнем выше по критичности (для WARNING — WARNING, ERROR и CRITICAL).

CEF формат

Jan 18 11:07:53 host CEF:Version|Device Vendor|Device Product|Device
Version|Device Event Class ID|Name|Severity|[Extension]

Описание полей:

• CEF:Version - Версия формата CEF.

• Device Vendor - Производитель.

• Device Product - Имя продукта.

• Device Version - Версия продукта.

• Device Event Class ID - Класс события.

• Name - Описание события.

• Severity - Важность события.

• Extensions - Дополнительные сведения о событии.

Grafana

Отдельно выведена кнопка редиректа (автоматическое перенаправление) на сервис Grafana, находящийся на контроллере.