OpenVPN
概述
VPN数据允许您在用户连接到虚拟专用网络时跟踪用户活动,并用入口活动填充位置图。
在你开始之前
默认情况下,某些OpenVPN部署将自动登录到syslog。其他,如OpenVPN AS,则需要更改配置。对于OpenVPN AS,在文件`AS.conf中添加以下文本:
文本
1.SYSLOG=true
然后,重新启动服务。
使用rsyslog时,日志记录应设置为*.info
并应类似于以下内容:
*.info@@10.10.10.1:514
对于TCP和*.info@10.10.10.1:514
对于UDP,在哪里:514
是您将在InsightOps事件源中使用的端口。您可以阅读有关此rsyslog配置的更多信息在这里.
如何配置此事件源
- 从仪表板中,选择左侧菜单上的数据采集
- 在页面右上角,选择显示“设置事件源”的下拉列表,然后选择添加事件源
- 从安全数据部分选择VPN图标
- 选择收集器,并可以选择命名事件源
- 从事件源选项列表中,选择OpenVPN
- 选择时区,或选择美国时区
- (可选)选择发送未筛选的日志
- 配置任何高级事件源设置。
- 选择侦听系统日志或日志聚合器;两者都要求您指定端口和协议。如果选择TCP,可以选择加密事件源
- 如果选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。将调用此文件
Rapid7CA.pem
并且将允许InsightOps和OpenVPN在日志转发期间相互“信任”。
高级事件源设置
非活动超时阈值:指定事件源在进入错误状态之前应处于非活动状态的时间(以分钟为单位)。回退域:如果您有在多域环境中运行的事件源,Rapid7建议使用回退域来解决用户帐户的任何问题。
例如,如果您的公司位于美国和加拿大,但这两个地区都有一个名为“John Smith”的用户,并且您的主域是公司网站
,您的回退域可能是美国公司
,这将允许InsightOps更准确地将数据归因于正确的用户。
这页对你有帮助吗?