Перейти к основному содержимому

Один сервер, много коллекторов: Укрощаем потоки данных в KOMRAD

· 4 мин. чтения
КОМРАД
КОМРАД
Команда КОМРАД

Представьте: ваша IT-инфраструктура растет. Сначала было уютно — пара серверов, один поток событий. Потом появился новый отдел со своими системами. Затем вы подключили облачные сервисы. И вот, вы уже сидите посреди бушующего океана логов, которые смешались в один неразборчивый поток. Знакомая головная боль?

Мы знаем, каково это. Именно поэтому мы подготовили новое подробное руководство, которое превратит хаос в порядок.

Встречайте нашу свежую статью в документации: Запуск нескольких экземпляров коллекторов .

А в этом посте мы не будем пересказывать документацию. Вместо этого, мы расскажем, почему это так круто, и покажем на живом примере, как эта фишка может сделать вас супергероем для ваших коллег и клиентов.

Зачем делить то, что и так работает?

Идея запуска нескольких копий одного и того же сервиса на одной машине может показаться странной. Но в мире ИБ и управления событиями это открывает невероятные возможности:

  • Станьте провайдером для внутренних клиентов. У вас есть отдел разработки, бухгалтерия и служба безопасности? Выделите каждому по персональному коллектору с уникальными настройками и портами. Никакой больше путаницы!
  • Разделите VIP-события и "просто шум". Критически важные логи с контроллера домена и логи с тестового веб-сервера — это как суперкар и самокат. Им нужны разные полосы движения. Создайте отдельный, высокоприоритетный коллектор для самого важного.
  • Обеспечьте мультитенантность. Если вы обслуживаете несколько компаний, изоляция их данных — это не прихоть, а требование. С отдельными коллекторами вы гарантируете, что данные компании "Альфа" никогда не пересекутся с данными компании "Бета".

Проще говоря, вы превращаете одну проселочную дорогу в многополосное шоссе, где у каждого свой съезд и своя скорость.

Вот как это выглядит на практике:

Диаграмма Сбор событий с разных тенантов в КОМРАД SIEM

Гибридный сценарий: Дружим On-Premise и Облако

А теперь давайте представим нашего админа Семёна. У него интересная задача: объединить в KOMRAD логи из двух совершенно разных миров.

  1. Мир первый: Закрытый контур. Внутри периметра компании работает сервер на Astra Linux 1.8. На нём крутятся критически важные сервисы. Логи оттуда — сверхсекретные, и доступ к ним должен быть строго ограничен.

  2. Мир второй: Облако. Компания активно использует Astra Infrastructure Cloud (AIC) — российскую облачную платформу для разработки и тестирования. AIC, как мы знаем, имеет встроенный Syslog-ng, который генерирует тонны событий. Эти логи важны, но не так критичны, и их могут просматривать младшие специалисты SOC.

Задача Семёна — собрать всё это, но не смешивать. Он хочет, чтобы логи из закрытого контура были видны только старшим аналитикам.

Что делает Семён? Он достает из рукава нашу новую инструкцию!

  1. Настройка для On-Premise. Он оставляет стандартный komrad-syslog-collector для сбора логов с внутреннего сервера. В конфигурации он указывает слушать только внутренний IP-адрес, чтобы никто извне не мог даже попытаться что-то отправить.

  2. Создание облачного двойника. Следуя нашему гайду, Семён создаёт второй экземпляр сервиса — komrad-syslog-collector-cloud. Он настраивает его на другой порт (49051 UDP, например) и указывает, что этот коллектор будет принимать данные с IP-адресов облачной подсети AIC.

  3. Настройка AIC. В панели управления Astra Infrastructure Cloud Семён настраивает Syslog-ng на пересылку событий на внешний IP своего сервера KOMRAD и порт 49051.

Вот как выглядит его элегантная схема:

A descriptive alt text for my image

И вуаля!

  • Логи надёжно разделены уже на этапе сбора.
  • В KOMRAD Семён настраивает политики доступа на основе setup_id от каждого коллектора. Младшие аналитики видят только облачные события, а старшие — всё.
  • Семён получает премию и звание "Магистра Потоков".

Готовы стать таким же магистром?

Мы постарались сделать руководство максимально понятным и подробным. Теперь у вас есть все инструменты, чтобы гибко управлять сбором данных, повышать безопасность и наводить порядок даже в самой сложной и гибридной инфраструктуре.

Не откладывайте на завтра то, что можно упорядочить сегодня!

👉 * *Перейти к полному руководству: Запуск нескольких экземпляров коллекторов **

Удачной охоты за событиями!