PowerFlex 4.x: настройка системных журналов для коммутаторов Dell PowerSwitch и Cisco Nexus

Настройка системных журналов для коммутаторов Dell PowerSwitch и Cisco Nexus

Для коммутаторов Dell PowerSwitch и Cisco Nexus системный журнал может передаваться по протоколу TLS и журналам аудита. Убедитесь, что для журналов аудита используется TACACS (система контроллеров доступа к терминалу).

 Коммутаторы и документация по ним

Журнал аудита PowerFlex

В этом разделе описывается, как включить ведение журнала аудита в PowerFlex Manager.

Перед использованием новой конфигурации журнала аудита рекомендуется использовать PowerFlex Manager 4.6. Он продолжит работать в более старых версиях PowerFlex Manager.

Использование политики аудита и настройки (вместо событий в syslog и syslog в syslog) сужает круг событий и сообщений до «аудита» (объект 13).

Журналы аудита фильтруют сообщения Facility 13. Добавление системного журнала и событий в rsyslog разрешено.

Входящий трафик и распространение событий в syslog

Используйте эту процедуру для получения входящего трафика и распространения событий в syslog.

Действия

1. Перейдите в /opt/platform-provisioner/support_scripts и запустите сценарий ./install_audit.sh один раз с любого из узлов MVM. Укажите учетные данные пользователя PowerFlex в запросе учетных данных.

# Enter the node
cd /opt/platform-provisioner/support_scripts; ./install_audit.sh # Installing observability, If there is issue break and repeat
# PFXUSER must be defined to the powerflex admin user, something like: # PFXUSER="admin" PFXPASSWORD="Scaleio123!" ./install_audit.sh
# Enter your PFX USER : Enter PFX PASSWORD :

Это может занять 20 минут. Не закрывайте терминал до завершения этого сценария.

2. Учетные данные пользователя должны быть указаны в среде или в виде переменной в командной строке выше. Если переменная отсутствует, выводится запрос на ее ввод.
3. Если процесс завершился сбоем или был прерван, возможно, в диспетчере платформы выполняется задание:

   "{"title": "An execution is already in progress", "description": "Please refer bedrock log for more details"}++ wait_for_done"
   ...
   No ID - check error
   

   
   

   После завершения этого задания процесс можно запустить снова.

   Сценарий проверяет наличие 10 служб наблюдения, чтобы убедиться, что он успешно завершил установку части наблюдаемости. Затем он завершает изменение конфигурации установщика платформы.

    

   Определение политики аудита и политики уведомлений

   Используйте эту процедуру, чтобы определить политику уведомлений для пересылки событий в системе PowerFlex в rsyslog-forwarder (также называемому syslog-listener). Затем rsyslog-forwarder пересылает события во внешние адресаты, определенные в политике.

    

   Действия

   1. Создайте источник:
      1. Нажмите Добавитьисточники в раскрывающемся меню Типисточника выберите Журнал аудита.
      2. Добавьте имя и описание.
   2. Создайте место назначения:
      1. Перейдите в раздел Настройки >Политики уведомлений о событиях и оповещениях>.

   Также можно использовать следующий программный интерфейс REST API: dispatch-destinations~1/post

   1. 2. Введите имя и описание пункта назначения.
      3. В меню Типназначения выберите Журнал аудита.
      4. Нажмите кнопку Далееи введите IP-адрес, порт и протокол (TCP) целевой системы SIEM. Убедитесь, что IP-адрес, порт и протокол SIEM доступны.
   3. Создайте новую политику.
      1. Перейдите в раздел Настройки >Политики уведомлений о событиях и оповещениях>.

   Также можно использовать следующий API-интерфейс REST: dispatch-policies~1/post

   1. 2. Нажмите Create New Policy.
      3. Введите имя и описание политики уведомлений. В качестве имени политики можно ввести: События аудита PowerFlexво внешнем системном журнале
      4. Установите для параметра Тип источника значение AuditLog.
      5. Установите для параметра Доменресурсов значение Все(необходимо выбрать все домены ресурсов).
      6. Для Серьезности установите все флажки (должны быть выбраны все уровни серьезности).
      7. Выберите один или несколько пунктов назначения, созданных выше.