Система WNAM 2 поддерживает отправку уведомлений (нотификаций) о событиях в работе модуля корпоративной авторизации во внешние системы по протоколам Syslog и SNMP. В настоящий момент поддерживаются следующие типы (условия срабатывания) событий:
- Событие аудита (событие аудита - логин либо логаут интерфейса администратора, создание, изменение либо модификация (почти любого) объекта конфигурации;
- Событие NAC (событие эндпоинта - авторизация (успешная или нет) гостевого или корпоративного устройства (МАС адреса));
- Событие администрирования оборудования (событие TACACS+ логина на оборудование, а также факт ввода команды);
- Событие службы каталогов (событие сервиса-коннектора со службой каталогов Active Directory);
- Событие службы сертификатов (событие при выдаче сертификатов, регистрации центра сертификации).
Основной задачей обновленного механизма уведомлений является отправка событий авторизации в систему SIEM предприятия.
Отправка уведомлений возможна по протоколам:
- Syslog в соответствии с RFC 5424 на TCP или UDP порт 514 (либо произвольный);
- SNMP Trap в соответствии с RFC 3416 на UDP порт 162 (версия 2c);
- Отправка Email уведомления.
Если вам требуется поддержка отправки уведомлений по Syslog/TLS, SNMPv3, реакция на другие типы событий, расширение информации по имеющимся типам, вам следует обратиться в службу технической поддержки по адресу support@netams.com
Можно одновременно создавать несколько получателей сообщений по разным протоколам и разного типа. Система не ограничивает число получателей уведомлений, но важно понимать помнить, что их отправка (особенно в нагруженной среде) потребляет ресурсы. Для настройки отправки уведомления следует перейти в раздел "Объекты" → "Уведомления" и нажать на кнопку "Новое уведомление", в результате чего откроется окно, позволяющее создать уведомление.
Здесь необходимо ввести требуемые данные в трёх вкладках.
В окне создания нотификации следует указать название обработчика (получателя) уведомления, а также одно из пяти условий срабатывания событий (можно указать все, или несколько).
В четвертом окне создания уведомления следует отметить необходимое местоположение.
В третьей вкладке следует выбрать тип обработчика и его параметры (для SNMP-уведомления следует выбрать "Отправить Trap по SNMP").
Для Email уведомления требуется заранее настроить SMTP-сервер(релей). Методика настройки приведена в соответствующей статье основного раздела.
Для Syslog-уведомления следует выбрать "Отправлять событие в SYSLOG".
Можно задать адрес получателя Syslog-сообщений с указанием нестандартного порта, а также выбрать протокол (TCP, UDP).
Затем следует сохранить изменения нажатием на кнопку "Создать". Созданное уведомление можно открыть, и провести тестовый запуск.
При наступлении соответствующего события в модуле корпоративной авторизации система WNAM 2 передаст информацию о событии в специальную очередь нотификаций, из которой все события будут обработаны и направлены по заданным каналам-получателям. При этом в лог-файле wnam.log появятся записи о такой отправке:
11:58:38.184 DEBUG [NotificationService.java:244] - Execute notification 'snmp1', handler SNMP, event type ENDPOINT_EVENT, object: {FAIL;48:FD:A3:75:C8:F4;PAP;not-allowed-pap-mac-state}
11:58:38.184 DEBUG [NotificationService.java:320] - Notification SNMP type ENDPOINT_EVENT to: 1.1.1.1 on: {AccessServer=hAP [R20 Mikrotik LAB], AuthState=FAIL, AuthenticationProfile=, AuthorizationProfile=Default reject, FailReason=not-allowed-pap-mac-state, Identity=48:FD:A3:75:C8:F4, MAC=48:FD:A3:75:C8:F4, Method=PAP, NasAddress=hap, RemoteIp=10.130.129.66, SiteName=change address ZZZ, Timestamp=06.02.2023 11:58:38, Type=ENDPOINT_EVENT, TypeStr=Событие эндпоинта}11:58:38.186 DEBUG [NotificationService.java:244] - Execute notification 'syslog1', handler SYSLOG, event type ENDPOINT_EVENT, object: {FAIL;48:FD:A3:75:C8:F4;PAP;not-allowed-pap-mac-state}
11:58:38.186 DEBUG [NotificationService.java:375] - Notification SYSLOG type ENDPOINT_EVENT to: 1.1.1.1 on: {AccessServer=hAP [R20 Mikrotik LAB], AuthState=FAIL, AuthenticationProfile=, AuthorizationProfile=Default reject, FailReason=not-allowed-pap-mac-state, Identity=48:FD:A3:75:C8:F4, MAC=48:FD:A3:75:C8:F4, Method=PAP, NasAddress=hap, RemoteIp=10.130.129.66, SiteName=change address ZZZ, Timestamp=06.02.2023 11:58:38, Type=ENDPOINT_EVENT, TypeStr=Событие эндпоинта}
Для Syslog-нотификаций мы старались реализовать формат, максимально совместимый с исходным форматом Common Event Format, описанным в этом документе.
Следующее поле - тип события:
Тип события | Описание события |
|---|---|
| TACACS_EVENT | Событие подсистемы администрирования оборудования: аутентификация доступа, авторизация доступа, авторизация команды |
| AUDIT_EVENT | События подсистемы аудита: авторизация в административном веб-интерфейсе WNAM 2, изменение конфигурационных объектов |
| ADC_EVENT | Событие модуля взаимодействия со службой каталога: статус коннектора |
| ENDPOINT_EVENT | Событие подсистемы авторизации сетевого доступа: авторизация эндпоинта |
Следующее поле - название события, например "Событие эндпоинта"
Следующее поле - важность (severity)
В зависимости от типа события, далее идет список пар "ключ=значение", описывающих детали события, в соответствии с этой таблицей:
Параметр | Описание |
|---|---|
| act | Результат авторизации эндпоинта, Authenticated или Rejected |
| app | Метод авторизации, например PAP или EAP_PEAP |
| smac | МАС адрес эндпоинта |
| suser | Identity эндпоинта |
| src | IP адрес эндпоинта |
| externalId | Идентификатор сессии аккаунтинга |
| cs1 | Имя профиля аутентификации |
| cs2 | Имя профиля авторизации |
| cs3 | Имя сервера доступа (NAS) |
| dst | IP адрес сервера доступа (NAS) |
| cs4 | Идентификатор сервера доступа (NAS) |
| cs5 | Название площадки |
| message | Некоторые остальные параметры из записи о сессии аутентификации, разделитель ; |