Syslog коннектор

Syslog-коннектор - системная политика, позволяющая выводить информацию в системный журнал /var/log/syslog. Это может быть полезно для выгрузки и интеграции с SIEM- или BI-системой для анализа накопленных в Staffcop данных.

Политика «Syslog коннектор» расположена в разделе Политики в папке Политики - Системные политики. По умолчанию политика выключена.

Чтобы включить политику «Syslog коннектор», зайдите в её свойства и установите галочку в разделе Политика активна.

../_images/syslog_1.png

На вкладке Фильтр настройте данные, которые будут передаваться в syslog-файл.

../_images/syslog_2.png

После этого, при обработке событий и этой политики один раз в 5 минут в файл /var/log/syslog будут помещаться события вида:

support@ubuntu:~$ grep -i staffcop /var/log/syslog
Jan 29 12:53:44 ubuntu staffcop: time="Jan 29 09:53:09" event="InterceptedFile" computer="NB0202" user="user" app="None" data="Clipboard.png"
Jan 29 12:57:52 ubuntu staffcop: time="Jan 29 09:57:28" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:57:52 ubuntu staffcop: time="Jan 29 09:57:26" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:11" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:10" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:08" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:06" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:03" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"

Появление таких событий означает, что политика «Syslog-коннектор» отработала нормально, и теперь эти данные можно собирать с помощью SYSLOG-граббера от SIEM или отправлять на удалённый rsyslog-сервер.

CEF-формат логов

Чтобы выгружать события в syslog-коннектор в формате CEF, на вкладке Свойства установите галочку в разделе Формат логов: CEF.

По умолчанию, для выгрузки задан формат CEF24.

Чтобы выгружать данные в формате CEF0:

  1. Откройте конфигурационный файл etc/staffcop/config.

  2. Добавьте строку CEF_VERSION = '0'.

  3. Если строка CEF_VERSION = уже существует, приведите её к вышеуказанному виду.

Пары «ключ-значение» для форматов CEF0 и CEF24 имеют вид:

('suser', 'agent_account.user_name', 'str'),
('sntdom', 'agent_account.user_domain', 'str'),
('duser', 'agent_dialog.contact', 'str'),
('dntdom', 'agent_dialog.domain', 'str'),
('dpt', 'agent_networkconnection.remote_port', 'int'),
('dpn', 'agent_eventtype.name', 'str'),
('cat', 'analytics_filter.category', 'str'),
('deviceDirection', 'agent_dialog.direction', 'str'),
('deviceExternalId', 'agent_device.hwid', 'str'),
('deviceFacility', 'agent_device.label', 'str'),
('dtz', 'agent_time.time_zone', 'str'),
('dvc', 'agent_agent.last_ip', 'str'),
('end', 'agent_account.last_activity_time', 'date'),
('fileHash', 'agent_attachedfile.sha1', 'str'),
('fileId', 'agent_attachedfile.guid', 'str'),
('filePath', 'agent_attachedfile.file_path', 'str'),
('fileType', 'agent_attachedfile.mime', 'str'),
('fname', 'agent_attachedfile.file_name', 'str'),
('fsize', 'file_size', 'int'),
('msg', 'text_data', 'str'),
('request', 'agent_web.url', 'str'),
('suid', 'agent_account.id', 'str'),
('suser', 'agent_account.user_name', 'str'),
('deviceCustomDate1', 'local_time', 'date', 'flex'),
('deviceCustomDate2', 'time_registered', 'date', 'flex'),
('cn1', 'activity_time', 'int', 'flex'),
('cn2', 'printed_pages', 'int', 'flex'),
('cn3', 'call_duration', 'int'),
('cs1', 'agent_account.full_name', 'str', 'flex'),
('cs2', 'agent_account.manager', 'str', 'flex'),
('cs3', 'agent_account.office', 'str', 'flex'),
('cs4', 'agent_agent.guid', 'str', 'flex'),
('cs5', 'agent_agent.os', 'str', 'flex'),
('cs6', 'agent_application.app_name', 'str', 'flex'),
('flexString1', 'agent_attachedfile.data', 'str', 'flex'),
('flexString2', 'parent_id', 'str', 'flex'),
('sourceServiceName', 'window_title', 'str')