Настройка сбора событий KOMRAD Enterprise SIEM с Docker
Docker - программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации, контейнеризатор приложений
Для использования протокола передачи сообщений о событиях информрационной безопасности syslog в ПО Docker по умолчанию, необходимо установить соответствующие значения для параметров log-driver
и log-opt
в файле daemon.json
. Данный файл создается при установке ПО Docker в каталоге /etc/docker/
для Unix-систем и C:\ProgramData\docker\config\daemon.json
- для ОС семейства Windows
В случае отсутствия файла daemon.json
в указанном каталоге, его необходимо создать вручную. Подробнее о настройке Docker для Windows и Astra Linux
Пример настройки параметров файла конфигурации:
{
"log-driver": "syslog",
"log-opts":
{
"syslog-address": "tcp://IP_Komrad:49000"
}
}
Конструкция tcp://IP_Komrad:49000
для параметра syslog-address
указывает на использование tcp соединения и указывает на IP-адрес узла, на котором функционирует ПК KOMRAD
После внесения изменений в файл конфигурации необходимо перезапустить ПО Docker
Помимо настройки журналирования всего ПО Docker можно также настроить передачу событий по syslog для определенного контейнера, используя ключ --log-driver
в командах docker container create
или docker run
, например:
docker run \
--log-driver syslog --log-opt syslog-address=udp://IP_Komrad:49050 \
alpine echo hello world