Системная политика Syslog-коннектор

Syslog-коннектор - специальная политика, которая позволяет выводить информацию попавшую под политику в системный журнал - /var/log/syslog.

Это может быть полезно, если вы захотите использовать выгрузку и интеграцию с SIEM-системой или с любой BI-системой для анализа накопленных в Staffcpop данных.

По умолчанию в интерфейсе системы политика «Syslog-коннектор» находится во вкладке «Фильтры - Политики - Системные политики».

Политика - по умолчанию - выключена.

Вам нужно зайти в свойства политики и включить, затем на вкладке «Фильтр» настроить параметры для экспорта данных в syslog-файл.

В качестве параметров можно например указать - «Сработавшие политики - Инцидент».

../_images/syslog_connector_1.PNG ../_images/syslog_connector_2.PNG

После этого при обработке событий и этой политики (раз в 5 минут) в файл /var/log/syslog будут помещаться события вида:

support@ubuntu:~$ grep -i staffcop /var/log/syslog
Jan 29 12:53:44 ubuntu staffcop: time="Jan 29 09:53:09" event="InterceptedFile" computer="NB0202" user="user" app="None" data="Clipboard.png"
Jan 29 12:57:52 ubuntu staffcop: time="Jan 29 09:57:28" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:57:52 ubuntu staffcop: time="Jan 29 09:57:26" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:11" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:10" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:08" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:06" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"
Jan 29 12:59:38 ubuntu staffcop: time="Jan 29 09:59:03" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"

Это означает, что политика - «Syslog-коннектор» отработала нормально, и теперь эти данные можно собирать с помощью SYSLOG-граббера от SIEM или отправлять на удалённый rsyslog-сервер.