Начиная с версии 1.6.3092:3197M (05.02.2023) WNAM поддерживает отправку уведомлений во внешние системы по протоколам Syslog и SNMP о событиях в работе модуля корпоративной авторизации.
В настоящий момент поддерживаются следующие типы (условия срабатывания) событий:
- AUDIT_EVENT
Событие аудита - логин либо логаут административного интерфейса, создание, изменение либо модификация (почти любого) объекта конфигурации - ENDPOINT_EVENT
Событие эндпоинта - авторизация (успешная или нет) гостевого или корпоративного устройства (МАС адреса) - TACACS_EVENT
Событие TACACS+ логина на оборудование, а также факт набора команды - ADC_EVENT
Событие сервиса-коннектора с Active Directory
Отправка возможна по протоколам:
- Syslog в соответствии с RFC 5424 на UDP порт 514 (либо произвольный)
- SNMP Trap в соответствии с RFC 3416 на UDP порт 162 (версия 2c)
Если вам требуется поддержка отправки по Syslog/TLS, SNMPv3, реакция на другие типы событий, расширение информации по имеющимся типам - напишите на support@netams.com
Механизм формирования уведомлений по событиям корпоративной авторизации расширяет имеющийся в WNAM модуль Нотификаций.
Вы можете одновременно создавать несколько получателей сообщений по разным протоколам и разного типа. Система не ограничивает вас в числе получателей уведомлений, но вы должны помнить, что их отправка, особенно в нагруженной среде, потребляет ресурсы.
Для настройки уведомления перейдите в раздел "Конфигурация - Нотификации", и нажмите на "Создать нотификацию". Откроется окно:
Укажите название обработчика (получателя) уведомления, а также как минимум одно из четырех условий срабатывания событий (можно указать все четыре).
Внимание! Обработчики SNMP и Syslog не совместимы со старыми условиями, например "Ассоциация с беспроводной сетью" и "Останов сессии".
Во второй вкладке отметьте "Все площадки":
В третьей вкладке выберите тип обработчика, и его параметры. Для SNMP - уведомления:
Для Syslog - уведомления:
Вы можете задать адрес получателя Syslog-сообщений в формате "хост:порт", например "1.2.3.4:5140", в этом случае отправка пакета будет производиться на заданный UDP-порт, а не на стандартный 514.
Сохраните изменения, и можете вновь открыть его и провести тестовый запуск.
При наступлении соответствующего события в модуле корпоративной авторизации WNAM передаст информацию о нем в специальную очередь нотификаций, из которой все события будут обработаны, и направлены по заданным каналам-получателям. При этом в логе wnam.log появятся записи о такой отправке:
11:58:38.184 DEBUG [NotificationService.java:244] - Execute notification 'snmp1', handler SNMP, event type ENDPOINT_EVENT, object: {FAIL;48:FD:A3:75:C8:F4;PAP;not-allowed-pap-mac-state}
11:58:38.184 DEBUG [NotificationService.java:320] - Notification SNMP type ENDPOINT_EVENT to: 1.1.1.1 on: {AccessServer=hAP [R20 Mikrotik LAB], AuthState=FAIL, AuthenticationProfile=, AuthorizationProfile=Default reject, FailReason=not-allowed-pap-mac-state, Identity=48:FD:A3:75:C8:F4, MAC=48:FD:A3:75:C8:F4, Method=PAP, NasAddress=hap, RemoteIp=10.130.129.66, SiteName=change address ZZZ, Timestamp=06.02.2023 11:58:38, Type=ENDPOINT_EVENT, TypeStr=Событие эндпоинта}11:58:38.186 DEBUG [NotificationService.java:244] - Execute notification 'syslog1', handler SYSLOG, event type ENDPOINT_EVENT, object: {FAIL;48:FD:A3:75:C8:F4;PAP;not-allowed-pap-mac-state}
11:58:38.186 DEBUG [NotificationService.java:375] - Notification SYSLOG type ENDPOINT_EVENT to: 1.1.1.1 on: {AccessServer=hAP [R20 Mikrotik LAB], AuthState=FAIL, AuthenticationProfile=, AuthorizationProfile=Default reject, FailReason=not-allowed-pap-mac-state, Identity=48:FD:A3:75:C8:F4, MAC=48:FD:A3:75:C8:F4, Method=PAP, NasAddress=hap, RemoteIp=10.130.129.66, SiteName=change address ZZZ, Timestamp=06.02.2023 11:58:38, Type=ENDPOINT_EVENT, TypeStr=Событие эндпоинта}
Если при этом захватить передаваемые по сети пакеты, и посмотреть в их содержимое, будет виден реальный формат передаваемых данных. Для любого типа события система старается передать наиболее важную информацию (логин, площадка, название политики, МАС адрес и т.п. либо в виде строки с парами "ключ=значение", либо в виде структурированных Syslog записей. В качестве идентификатора предприятия используется зарегистрированный в IANA на ООО "Нетамс" собственный номер 1.3.6.1.4.1.23099:
Ниже идет таблица допустимых ключей (версия 1.0, на 05.02.2023):
Тип события | Ключи |
---|---|
TACACS_EVENT | Type=TACACS_EVENT, TypeStr, EventType, Username, Result, Command, AccessServer, NasAddress, RemoteAddress, SiteName, Profile |
AUDIT_EVENT | Type=AUDIT_EVENT, TypeStr, ObjectType, ObjectName, EventType, RemoteIp, RemoteUser |
ADC_EVENT | Type=ADC_EVENT, TypeStr, Message, DomainName, ConnectionStatus, Controller, LDAP, NTLM |
ENDPOINT_EVENT | Type=ENDPOINT_EVENT, TypeStr, AuthState, FailReason, AuthenticationProfile, AuthorizationProfile, AccessServer, Identity, MAC, RemoteIp, NasAddress, SiteName, Method |