Подключение источников событий в Логикор

Прием и обработка журналов в Логикор выполняется компонентом Saturn, внутри которого работает модифицированный инструмент для сбора, преобразования и доставки логических событий Logstash.

В базовой поставке Saturn предоставляет, но не ограничивается, несколькими базовыми интерфейсами для приема данных:

• Beats — используется для подключения журналов аудита источников;
• Syslog — используется для подключения источников, отправляющих данные по протоколу SYSLOG, такие как:
  • Linux\Unix файлы журналы — sshd, pam, boot, auth, messages, kern и т.д.;
  • сетевое оборудование — Palo Alto, Cisco, UserGate;
  • ПО, отправляющее записи журналов по протоколу SYSLOG (или с использованием ППО rsyslog, syslog-ng, и подобных), например, веб-серверы (Apache/Nginx): /var/log/apache2/, /var/log/httpd/, /var/log/nginx/ (access.log, error.log), базы данных (MySQL/PostgreSQL): /var/log/mysql.log, /var/log/mysqld.log, /var/lib/postgres/.../pg_log, почтовые серверы: /var/log/mail.log, /var/log/exim4/, планировщик задач (cron): /var/log/cron.
• File — используется для чтения журналов напрямую из файловой системы.

Saturn может принимать данные в нескольких режимах:

• пассивный прием данных по протоколу syslog;
• пересылка данных с помощью агента Winlogbeat, устанавливаемого на сервера и АРМ на базе Windows;
• активный сбор данных со стороны Saturn.

Ниже приведена сводная таблица по источникам, типам приема, документации и заметок: