Отправка записей журнала аудита на Syslog-сервер

По умолчанию журнал аудита хранится в базе данных продукта Кибер Бэкап, однако для централизованного хранения и обработки можно настроить отправку записей журнала аудита на удаленный Syslog-сервер. Для отправки записей может использоваться протокол TCP, UDP или TLS.

Предварительные требования для протокола TLS

Если для отправки записей планируется использовать протокол TLS, то перед настройкой должны быть выполнены следующие требования:

  • Для сервера управления Кибер Бэкап подготовлены сертификат и закрытый ключ. Сертификат заверен корневым или промежуточным удостоверяющим центром (УЦ).

  • Для Syslog-сервера подготовлены сертификат и закрытый ключ. Сертификат заверен корневым УЦ. В поле сертификата IPAddress указан IP-адрес Syslog-сервера, или в поле DNSname указано его DNS-имя.

  • Сертификат и закрытый ключ Syslog-сервера загружены на Syslog-сервер и указаны в его настройках.

  • Файл цепочки сертификатов для проверки сертификата сервера управления Кибер Бэкап загружен на Syslog-сервер и указан в его настройках.

  • Подготовлен сертификат УЦ, которым был заверен сертификат Syslog-сервера.

Подробные сведения о подготовке сертификатов и настройке Syslog-сервера см. в документации используемого в вашем окружении Syslog-сервера.

Настройка отправки записей на Syslog-сервер

Для настройки выполните следующие действия:

  1. Перейдите в раздел Настройки > Параметры Syslog и переведите переключатель Передавать журнал аудита на Syslog сервер в состояние "вкл".

  2. Укажите параметры подключения к Syslog-серверу:

    • Адрес удаленного сервера. IP-адрес или DNS-имя Syslog-сервера.

    • Порт. Порт Syslog-сервера.

    • Протокол. Протокол для подключения к Syslog-серверу. Можно указать TCP, UDP или TLS.

    • Формат сообщения. Формат, в котором будут отправляться сообщения. Можно указать CEF (RFC 3164) или Syslog.

    • [Только для протокола TLS] TLS Certificate. Сертификат сервера управления Кибер Бэкап в формате PEM. Этот сертификат будет использоваться Syslog-сервером для проверки подлинности сервера управления Кибер Бэкап.

    • [Только для протокола TLS] TLS Key. Закрытый ключ сертификата сервера управления Кибер Бэкап. Ключ должен быть указан в формате PEM.

    • [Только для протокола TLS] TLS CA Certificate. Сертификат удостоверяющего центра (УЦ), которым заверен сертификат Syslog-сервера. Сертификат УЦ должен быть указан в формате PEM. Этот сертификат будет использоваться сервером управления Кибер Бэкап при проверке подлинности Syslog-сервера.

  3. Нажмите Отправить тестовое сообщение и убедитесь, что сообщение получено Syslog-сервером.

    При использовании протокола UDP сообщение об ошибке отправки будет показано только в том случае, когда хост, на котором установлен Syslog-сервер, недоступен.

  4. Нажмите Сохранить.

После настройки запись о каждом новом событии будет сохраняться в журнал аудита, а также отправляться на указанный Syslog-сервер.