Page History

...

Механизм формирования уведомлений по событиям корпоративной авторизации расширяет имеющийся в системе WNAM модуль Нотификаций. Можно одновременно создавать несколько получателей сообщений по разным протоколам и разного типа. Система не ограничивает число получателей уведомлений, но важно понимать помнить, что их отправка (особенно в нагруженной среде) потребляет ресурсы. Для настройки отправки уведомления следует перейти в раздел "Конфигурация" → "Нотификации" и нажать на кнопку "Создать нотификацию", в результате чего откроется окно, позволяющее создать нотификацию.

Создать нотификацию можно по кнопке "Создать нотификацию", при нажатии на которую откроется окно, где Здесь необходимо ввести требуемые данные и установить необходимые параметрыв трёх вкладках.

Image RemovedImage Added

В окне создания нотификации следует указать название обработчика (получателя) уведомления, а также одно из четырех условий срабатывания событий (можно указать все, или несколько).

...

Для Syslog-уведомления следует выбрать "Отправить событие в SYSLOG" и формат данных - CEF (расширенный).

Image RemovedImage Added

Можно задать адрес получателя Syslog-сообщений с указанием нестандартного порта, а также выбрать протокол (TCP, UDP).

Затем в формате "хост:порт", например, "1.2.3.4:5140". В этом случае отправка пакета будет производиться на заданный UDP-порт, а не на стандартный 514 порт. После выполненных настроек следует сохранить изменения нажатием на кнопку "Сохранить изменения". Созданную нотификацию можно открыть, и провести тестовый запуск.

...

11:58:38.184 DEBUG [NotificationService.java:244] - Execute notification 'snmp1', handler SNMP, event type ENDPOINT_EVENT, object: {FAIL;48:FD:A3:75:C8:F4;PAP;not-allowed-pap-mac-state}
11:58:38.184 DEBUG [NotificationService.java:320] - Notification SNMP type ENDPOINT_EVENT to: 1.1.1.1 on: {AccessServer=hAP [R20 Mikrotik LAB], AuthState=FAIL, AuthenticationProfile=, AuthorizationProfile=Default reject, FailReason=not-allowed-pap-mac-state, Identity=48:FD:A3:75:C8:F4, MAC=48:FD:A3:75:C8:F4, Method=PAP, NasAddress=hap, RemoteIp=10.130.129.66, SiteName=change address ZZZ, Timestamp=06.02.2023 11:58:38, Type=ENDPOINT_EVENT, TypeStr=Событие эндпоинта}

11:58:38.186 DEBUG [NotificationService.java:244] - Execute notification 'syslog1', handler SYSLOG, event type ENDPOINT_EVENT, object: {FAIL;48:FD:A3:75:C8:F4;PAP;not-allowed-pap-mac-state}
11:58:38.186 DEBUG [NotificationService.java:375] - Notification SYSLOG type ENDPOINT_EVENT to: 1.1.1.1 on: {AccessServer=hAP [R20 Mikrotik LAB], AuthState=FAIL, AuthenticationProfile=, AuthorizationProfile=Default reject, FailReason=not-allowed-pap-mac-state, Identity=48:FD:A3:75:C8:F4, MAC=48:FD:A3:75:C8:F4, Method=PAP, NasAddress=hap, RemoteIp=10.130.129.66, SiteName=change address ZZZ, Timestamp=06.02.2023 11:58:38, Type=ENDPOINT_EVENT, TypeStr=Событие эндпоинта}

Если при этом перехватить передаваемые по сети пакеты и посмотреть их содержимое, будет виден реальный формат передаваемых данных. Для любого типа события система старается передать наиболее важную информацию (логин, площадка, название политики, МАС-адрес и т.п.) в виде строки с парами "ключ=значение", либо в виде структурированных Syslog-записей. В Для SNMP-трапов в качестве идентификатора предприятия используется зарегистрированный в IANA на IANA на ООО "Нетамс" собственный номер 1.3.6.1.4.1.23099.

Image Removed

Image Removed

Далее Ниже приведена таблица допустимых ключей (для версии 1.0 системы WNAM).CEF. Мы старались сделать формат, максимально совместимый с исходным форматом Common Event Format, описанным в этом документе. 

...