Системная политика Syslog-коннектор¶
Syslog-коннектор - специальная политика, которая позволяет выводить информацию попавшую под политику в системный журнал - /var/log/syslog
Это может быть полезно, если вы захотите использовать выгрузку и интеграцию с SIEM-системой или с любой BI-системой для анализа накопленных в Staffcpop данных.
По умолчанию в интерфейсе системы политика «Syslog-коннектор» находится во вкладке «Фильтры - Политики - Системные политики».
Политика - по умолчанию - выключена.
Вам нужно зайти в свойства политики и включить, затем на вкладке «Фильтр» настроить параметры для экспорта данных в syslog-файл.
В качестве параметров можно например указать - «Сработавшие фильтры - Инцидент».
После этого при обработке событий и этой политики (раз в 5 минут) в файл /etc/log/syslog будут помещаться события вида:
support@ubuntu:~$ grep -i staffcop /var/log/syslog
Jan 29 12:53:44 ubuntu staffcop: time="Jan 29 09:53:09" event="InterceptedFile" computer="NB0202" user="user" app="None" data="Clipboard.png"
Jan 29 12:57:52 ubuntu staffcop: time="Jan 29 09:57:28" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:57:52 ubuntu staffcop: time="Jan 29 09:57:26" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:11" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:10" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:08" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:06" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:03" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Это означает, что политика - «Syslog-коннектор» отработала нормально, и теперь эти данные можно собирать с помощью SYSLOG-граббера от SIEM или отправлять на удалённый rsyslog-сервер.