Аудит событий безопасности v.9.2

Аудит событий безопасности в Luxms BI v.9.2
(не работает для версии 10.0 и выше)




1). Установить luxmsbi-pumpushka версии 9.2

	yum install luxmsbi-pumpushka

Если этот модуль уже был установлен, но еще не был настроен, то надо переписать конфиг:

	mv /opt/luxmsbi/conf/luxmsbi-pumpushka.json.rpmnew /opt/luxmsbi/conf/luxmsbi-pumpushka.json

Настройка аудита событий пользователей

2). Для включения “Аудит событий безопасности”, необходимо в БД
В таблице adm.configs выставить в “audit.tracking.topic” в стобце “cfg_val = audit” и “is_enabled = 1”.

3). Получить token с помощью запроса в БД:

insert into webapi.access_tokens (allowed_actions, login_as, script) values ( (
select
	to_jsonb(array_agg(id))
from
	webapi.routes
where
	(dst_handler_name in ('db')
		and http_method in ('POST'))
	or (dst_handler_name = 'healthcheck'
		and http_method = 'GET') ),
1,
$$if( http.req.method = 'POST'
	and http.req.vars.dataset = 'audit'
	and (http.req.vars.table = 'events'
		or http.req.vars.table = 'admin_events'),
	true,
	http.req.method = 'GET' )$$) returning jwt;

4). Полученный token вписать в конфиг /opt/luxmsbi/conf/luxmsbi-pumpushka.json и активировать конфигурацию для аудита:

	"luxmsbi": {
		"enabled": true,
		 "options": [
            {
                "channels": [
                    "luxmsbi.cdc.audit.events", 
	        "luxmsbi.cdc.audit.admin_events"
                ],
                ...
                "token": "<token>"
	     ...

Настройка мониторинга ETL

5). Получить token для мониторинга ETL с помощью запроса в БД:

INSERT INTO webapi.access_tokens (allowed_actions, login_as, script) VALUES (
         (SELECT to_jsonb(array_agg(id)) FROM webapi.routes WHERE
             (dst_handler_name IN ('db', 'db_bipath') AND http_method IN ('POST', 'PUT')) OR
             (dst_handler_name = 'healthcheck' AND http_method = 'GET')
     ),
     1,
     $$if(
         http.req.method = 'POST' or http.req.method = 'PUT',
         http.req.vars.dataset = 'databoring' and http.req.vars.table = 'runs',
         http.req.method = 'GET'
     )$$) RETURNING jwt;

6). Полученный token вписать в конфиг /opt/luxmsbi/conf/luxmsbi-pumpushka.json и активировать конфигурацию для аудита:

	"luxmsbi": {
		"enabled": true,
		 "options": [
 			{
				...
			},
            {
                "channels": [
                    "ldb.runs"
                ],
                "proto": "http",
                "address": "localhost",
                "schema": "databoring",
                "table": "runs",
                "max_open_connections": 10,
                "delete_keys": [],
                "unique_keys": ["run_id"],
                "replace_keys": []

                "token": "<token>"
	     …

7). Проверить настройки luxms-databoring и настроить его на работу с NATS:
В начале файла /opt/luxmsbi/databoring/settings.js указать настройку

// NATS
const NATS_WORKING = true;

8). Рестартануть luxms-databoring:

systemctl restart luxms-databoring

Запуск luxmsbi-pumpushka и установка ds_infosec

9). Рестартануть luxmsbi-pumpushka

	systemctl restart luxmsbi-pumpushka

а затем убедиться, что запуск прошел успешного

	systemctl status luxmsbi-pumpushka

В случае проблем обратиться в службу тех. поддержки с результатом выполнения команды:

 journalctl -u luxmsbi-pumpushka -n 100
 journalctl -u luxmsbi-appserver -n 1000

10). Для отображения “Аудита событий безопасности” на WEB-платформе, необходимо установить пакет luxmsbi-pg-ds-infosec версии 9.0.1 и выше:

yum install luxmsbi-pg-ds-infosec

или

apt install luxmsbi-pg-ds-infosec

После чего в списке Атласов появится атлас «Аудит событий безопасности»