Перейти к основному содержимому
Версия: 4.5.X

Настройка сбора событий KOMRAD Enterprise SIEM с Docker

Docker - программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации, контейнеризатор приложений

Для использования протокола передачи сообщений о событиях информрационной безопасности syslog в ПО Docker по умолчанию, необходимо установить соответствующие значения для параметров log-driver и log-opt в файле daemon.json. Данный файл создается при установке ПО Docker в каталоге /etc/docker/ для Unix-систем и C:\ProgramData\docker\config\daemon.json - для ОС семейства Windows

подсказка

В случае отсутствия файла daemon.json в указанном каталоге, его необходимо создать вручную. Подробнее о настройке Docker для Windows и Astra Linux

Пример настройки параметров файла конфигурации:

{
"log-driver": "syslog",
"log-opts":
{
"syslog-address": "tcp://IP_Komrad:49000"
}
}
подсказка

Конструкция tcp://IP_Komrad:49000 для параметра syslog-address указывает на использование tcp соединения и указывает на IP-адрес узла, на котором функционирует ПК KOMRAD

После внесения изменений в файл конфигурации необходимо перезапустить ПО Docker

подсказка

Помимо настройки журналирования всего ПО Docker можно также настроить передачу событий по syslog для определенного контейнера, используя ключ --log-driver в командах docker container create или docker run, например:

   docker run \
--log-driver syslog --log-opt syslog-address=udp://IP_Komrad:49050 \
alpine echo hello world