Интеграция с Vector и OpenSearch
Данное руководство поможет вам настроить интеграцию системы с Vector через защищённое TLS-соединение и OpenSearch в качестве базы данных.
Архитектура решения
→ Vector (TLS) → OpenSearch → OpenSearch Dashboards
Структура проекта
После выполнения всех шагов у вас будет следующая структура файлов:
text
Пошаговая инструкция
Шаг 1. Создание TLS-сертификатов
Для безопасного соединения создадим необходимые сертификаты.
1.1 Создание CA (Certificate Authority)
Создайте файл конфигурации tls/ca.cnf:
ini
Выполните команды для создания CA:
bash
1.2 Создание клиентского сертификата
Создайте файл конфигурации tls/client.cnf:
ini
Выполните команды для создания клиентского сертификата:
bash
1.3 Создание серверного сертификата
Создайте файл конфигурации tls/server.cnf:
ini
Выполните команды для создания серверного сертификата:
bash
Шаг 2. Конфигурация Vector
Создайте файл конфигурации vector.yaml:
yaml
Шаг 3. Развёртывание через Docker
Создайте файл docker-compose.yaml:
yaml
Шаг 4. Запуск системы
bash
Шаг 5. Создание интеграции в
5.1 Добавление доверенных endpoints
Обратитесь в службу поддержки для добавления ваших IP-адресов и портов в список доверенных.
5.2 Настройка интеграции через веб-интерфейс
-
Перейдите в меню "Интеграции" → "События" → "Создать"
-
Заполните Наименование, укажите название интеграции
-
В поле Encoder выбе�рите формат данных
json -
Выберите Тип взаимодействия (уровень безопасности):
tcp+tls+privateKey -
Заполните Приватный ключ, вставьте в поле содержимое файла
tls/client.key -
Заполните Client сертификат для TLS соединения, вставьте в поле содержимое файла
tls/client.crt -
Заполните CA сертификат для TLS соединения, вставьте в поле содержимое файла
tls/ca.crt
-
Укажите Endpoints от Vector: связка IP + Port должны быть в списке доверенных endpoint. При желании так же можно указать hostname
text
-
Настройте События: выберите тип события и настройте маппинг полей
-
Включите интеграцию для начала сбора данных
Особенности работы с множественными endpoints
- Отправка данных происходит на первый доступный endpoint
- При недоступности основного endpoint происходит автоматическое переключение на резервный
Важно
Создание интеграции не запускает немедленную отправку данных. Информация поступает в Vector только после сканирования устройств системой
Шаг 6. Настройка OpenSearch Dashboards
-
Откройте http://localhost:5601
-
Перейдите в Dashboards Management → Index Patterns → Create index pattern
-
Настройте индекс-паттерн:
- Index pattern name:
vuln_input-*
- Time field:
timestamp
- Index pattern name:
-
Нажмите Create index pattern
-
Перейдите в Discover для просмотра поступающих данных
Проверка работоспособности
Проверка Vector
bash
Проверка OpenSearch
bash
Тестирование TLS-подключения
bash
Устранение неисправностей
Частые проблемы
1. Ошибка подключения к Vector
- Проверьте, что порт 6514 открыт и доступен
- Убедитесь в правильности TLS-сертификатов
- Проверьте логи Vector:
docker-compose logs vector
2. Данные не поступают в OpenSearch
- Проверьте доступность OpenSearch:
curl http://localhost:9200 - Убедитесь в правильности маппинга полей в Vector
- Проверьте индексы:
curl http://localhost:9200/_cat/indices
3. Данные не поступают в OpenSearch
- Убедитесь, что интеграция включена в веб-интерфейсе
- Должно пройти сканирование устройств чтобы данные были отправлены в OpenSearch систему
Логи для диагностики
bash
Заключение
После выполнения всех шагов у вас будет полностью функционирующая интеграция с Vector и OpenSearch в качестве базы данных. Система будет:
- Принимать данные по защищённому TLS-соединению
- Автоматически индексировать события
- Предоставлять удобный веб-интерфейс для анализа
Для дополнительной настройки и расширенной конфигурации обратитесь к документации Vector и OpenSearch.
Важно
По данному руководству можно интегрироваться с любой SIEM системой, у которой в качестве базы данных используется OpenSearch или ElasticSearch.