OpenVPN

概述

VPN数据允许您在用户连接到虚拟专用网络时跟踪用户活动,并用入口活动填充位置图。

在你开始之前

默认情况下,某些OpenVPN部署将自动登录到syslog。其他,如OpenVPN AS,则需要更改配置。对于OpenVPN AS,在文件`AS.conf中添加以下文本:

          
文本
1.
SYSLOG=true

然后,重新启动服务。

使用rsyslog时,日志记录应设置为*.info并应类似于以下内容:

*.info@@10.10.10.1:514对于TCP和*.info@10.10.10.1:514对于UDP,在哪里:514是您将在InsightOps事件源中使用的端口。您可以阅读有关此rsyslog配置的更多信息在这里.

如何配置此事件源

  1. 从仪表板中,选择左侧菜单上的数据采集
  2. 在页面右上角,选择显示“设置事件源”的下拉列表,然后选择添加事件源
  3. 从安全数据部分选择VPN图标
  4. 选择收集器,并可以选择命名事件源
  5. 从事件源选项列表中,选择OpenVPN
  6. 选择时区,或选择美国时区
  7. (可选)选择发送未筛选的日志
  8. 配置任何高级事件源设置。
  9. 选择侦听系统日志或日志聚合器;两者都要求您指定端口和协议。如果选择TCP,可以选择加密事件源
  10. 如果选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。将调用此文件Rapid7CA.pem并且将允许InsightOps和OpenVPN在日志转发期间相互“信任”。

高级事件源设置

非活动超时阈值:指定事件源在进入错误状态之前应处于非活动状态的时间(以分钟为单位)。回退域:如果您有在多域环境中运行的事件源,Rapid7建议使用回退域来解决用户帐户的任何问题。

例如,如果您的公司位于美国和加拿大,但这两个地区都有一个名为“John Smith”的用户,并且您的主域是公司网站,您的回退域可能是美国公司,这将允许InsightOps更准确地将数据归因于正确的用户。