Организация совместной работы KOMRAD Enterprise SIEM и Ред База Данных

СУБД РЕД База Данных используется для упорядоченного хранения и обработки больших объемов информации. РЕД База Данных представляет собой мощную современную СУБД с открытым кодом. Ознакомится с официальной документацией на продукт можно по ссылке.

Подключение источника РЕД База Данных, установленного на linux

Для настройки сбора необходимо выполнить следующие действия:

1. Открыть файл firebird.conf для редактирования с помощью команды:

nano /opt/RedDatabase/firebird.conf

1. В файле firebird.conf добавить строку:

AuditTraceConfigFiles = fbtrace.conf; fbtrace_sec.conf; fbtrace_dba.conf;

подсказка

• fbtrace.conf — события производительности
• fbtrace_sec.conf — события безопасности
• fbtrace_dba.conf — действия пользователя

1. Выйти из редактирования файла с сохранением внесенных изменений
2. Открыть файл fbtrace.conf для редактирования с помощью команды:

nano /opt/RedDatabase/fbtrace.conf

1. Заполнить файл следующим содержимым:

database
{
  enabled              = true
  format               = 2

  log_connections      = true
  log_transactions     = true
  log_statement_start  = true
  log_statement_finish = true
  log_procedure_start  = true
  log_procedure_finish = true
  log_function_start   = true
  log_function_finish  = true
  log_trigger_start    = true
  log_trigger_finish   = true
  log_blr_requests     = true
  log_dyn_requests     = true
  log_sweep            = true
  log_errors           = true
  log_warnings         = true
  log_initfini         = true
  log_security_incidents = true
  print_security_type  = true
  time_threshold       = 0
}

services
{
  enabled      = true
  format       = 2
  log_services = true
  log_errors   = true
}

где в значении database = /путь/до/вашей/базы.fdb указать полный путь до базы, которую вы хотите собирать, иначе будет происходить сбор со всех баз.

1. Выйти из редактирования файла с сохранением внесенных изменений
2. В каждом конфигурационном файле (fbtrace.conf, fbtrace_sec.conf, fbtrace_dba.conf) выставить значение:

format = 2

Которое означает запись событий в syslog.

1. Перезапустить сервис с помощью команды:

systemctl restart firebird

Настройка передачи событий на KOMRAD с помощью rsyslog

1. Создайте файл, в котором будет храниться конфигурация передачи событий по syslog, например:

nano /etc/rsyslog.d/RED-database.conf

1. Заполните файл следующим содержимым:

programname, isequal, "RedDatabase" action(type="omfwd"
  target="IP-адрес KOMRAD"
  port="49000"
  protocol="tcp"
  action.resumeRetryCount="-1"
  queue.type="LinkedList"
  queue.size="10000"
)

где в значении target="IP-адрес KOMRAD" нужно заполнить IP-адрес сервера KOMRAD

1. Перезагрузить сервис с помощью команды:

systemctl restart rsyslog

Подключение источника РЕД База Данных, установленного на Windows

Для настройки сбора необходимо выполнить следующие действия:

1. Настроить файлы:

   • firebird.conf:

     AuditTraceConfigFiles = fbtrace.conf; fbtrace_sec.conf; fbtrace_dba.conf;

   • fbtrace.conf:

     database
     {
       enabled = true
       format = 2
     
       log_connections      = true
       log_transactions     = true
       log_statement_finish = true
       time_threshold       = 0
       log_errors           = true
       log_warnings         = true
       log_privilege_changes = true
       log_security_incidents = true
       print_security_level = true
       print_security_type  = true
       log_sweep            = true
     }
     
     services
     {
       enabled          = true
       format           = 2
       log_services     = true
       log_service_query = true
       log_errors       = true
     }

2. Перезапустить службу с помощью команды:

Restart-Service "RedDatabaseServer*"

1. События появятся в журнале windows. Просмотр событий → Журналы Windows → Приложение. Источник: Red Database SQL Server

1. На KOMRAD подключить на коллекторе Windows журнал Application. Выбрать настройку Cохранять сырой XML