Служба управления конфигурациями "Осмакс"

Руководство по установке

Версия 1.9.0

© Т1 Иннотех, 2020-

Содержание

    Содержание

    Общие сведения

    Руководство включает полное поэтапное описание процесса установки продукта «Служба управления конфигурациями "Осмакс"» на операционные системы:

    • Astra Linux Special Edition версии 1.7.3 и выше;

    • РЕД ОС версии 7.3.

    Подготовка к установке

    На этапе подготовки к установке:

    1. Убедитесь, что на серверах установлено прикладное программное обеспечение требуемой версии согласно схеме развертывания.

    2. Выполните настройку окружения.

    3. Убедитесь, что у вас есть доступ к дистрибутиву продукта требуемой версии.

    Требования к программному обеспечению

    Установка продукта возможна на операционных системах:

    • Astra Linux Special Edition версии не ниже 1.7.3 (лицензия: GNU General Public License от ООО «РусБИТехАстра»);

    • РЕД ОС версии 7.3.

    Убедитесь, что для выбранной ОС установлена подсистема инициализации systemd версии 245 и выше.

    Требования к системному и прикладному программному обеспечению приведены в таблице:

    Название Описание Версия Тип лицензии Правообладатель

    Apache Kafka

    Распределенная платформа для обработки потоков данных

    3.6.0 и выше

    Apache 2.0

    Open Source

    LDAP-сервер

    Сервер, который предоставляет доступ к каталогу объектов, таких как пользователи, группы, компьютеры и другие ресурсы в сети.

    Допускается использование любых серверов со стандартной схемой БД Microsoft (Active Directory Schema)

    «Служба каталогов» 1.1.0 и выше

    GPL-3.0 license

    ГК «Иннотех»

    Microsoft Windows Server 2012 (или более новый)

    Microsoft EULA

    Microsoft

    Unboundid LDAP 4.0.16

    GPL-2.0 license

    Open Source

    PostgreSQL

    СУБД для хранения и обработки данных продукта

    Не ниже 14.0

    PostgreSQL Licence

    Open Source

    S3-совместимое файловое хранилище

    Система хранения контента (например, Ceph, Minio и др.)

    Веб-сервер

    ПО, которое используется для обработки запросов от веб-браузеров и ответа на них, а также для предоставления доступа к веб-ресурсам, таким как веб-страницы, изображения, файлы и другие данные (например, Nginx)

    Настройка окружения

    Ниже приведены минимальные требования к настройке следующего программного обеспечения:

    Apache Kafka

    Создайте топики:

    1. Для передачи данных с серверов управления (masters) в модуль osmax-core (например, salt-topic).

    2. Для передачи информации о новых устройствах из модуля osmax-provisioner в БД (например, provisioner-topic).

    3. Dead Letter Queue (DLQ) для приема сообщений, которые не могут быть успешно обработаны в основной очереди при передаче информации о новых устройствах в БД (например, provisioner-dlq-topic). Такие сообщения в дальнейшем будут обрабатываться администраторами системы.

    Рекомендуемые параметры для топиков:

    • retention — время, в течение которого сообщения будут храниться в топике до момента удаления;

    • partitions — способ физического разделения данных в топике на несколько частей.

    Параметры могут быть настроены в зависимости от требований к производительности и надежности системы.

    LDAP-сервер

    1. Создайте учетную запись для подключения и сканирования LDAP-сервера.

    2. Создайте учетную запись для валидации билетов Kerberos (можно использовать ту же учетную запись, что и в п.1).

    3. Создайте сервисную учетную запись Kerberos.

    4. Убедитесь, что все компьютеры, которые будут использоваться для работы с модулями «Кабинет администратора» и «Магазин приложений», находятся в составе домена под управлением службы каталогов (Active Directory Domain Services, Samba, FreeIPA или др.), использующей для проверки подлинности протокол Kerberos.

      При использовании PAM-аутентификации для корректной работы сервера управления (master) необходим root-доступ — полный доступ к системе, который предоставляется пользователю с правами администратора (root). Если аутентификация выполняется при помощи LDAP-сервера, то root-доступ необязателен.

      Для корректной работы агентов (minions) root-доступ обязателен.

      Для работы остальных компонентов продукта root-доступ не требуется.

    PostgreSQL

    1. Модуль osmax-core:

      1. Создайте техническую учетную запись пользователя.

      2. Техническому пользователю назначьте схему, в которой будут созданы необходимые таблицы автоматически после установки продукта.

      3. Выдайте права пользователю на выполнение DDL-операций.

      4. Создайте дополнительного пользователя для доступа к схеме с правами только на чтение данных (read-only).

    2. Модуль osmax-provisioner:

      1. Создайте техническую учетную запись пользователя.

      2. Техническому пользователю назначьте схему, в которой будут созданы необходимые таблицы автоматически после установки продукта.

      3. Выдайте права пользователю на выполнение DDL-операций.

    S3-совместимое файловое хранилище

    1. Создайте техническую учетную запись.

    2. Создайте бакеты для хранения:

      • формул модуля координации (SaltStack), например: salt-bucket;

      • данных хранилища Pillar модуля координации (SaltStack), например: pillar-bucket;

      • иконок, например: icons-bucket;

      • изображений и скриншотов, например: images-bucket;

      • прочего мультимедиа-контента, например: others-bucket;

      • исполняемых файлов (скриптов), предназначенных для установки агентов (minions) на устройства, например: script-bucket;

      • образов ISO, например: os-installation-iso-images-bucket.

    Состав дистрибутива

    Дистрибутив продукта распространяется в виде архивов в формате tar.gz, доступных для загрузки из репозитория:

    https://<repository.domain.name>/repository/<клиент>-<редакция>-raw-packages

    Доступ к репозиторию осуществляется с использованием учетной записи, полученной от ГК «Иннотех». Архивы в репозитории сгруппированы по версиям.

    Предоставляемые архивы:

    Архив с основными модулями (бэкенд, фронтенд, модуль «Удаленный доступ») и компонентами продукта

    Архив включает:

    • deb-пакеты, которые используются только при установке продукта на ОС Astra Linux:

      • osmax-core — сборка бэкенда продукта, содержащая скомпилированный код для массовой установки ПО на устройствах и обработки полученных событий;

      • osmax-provisioner — модуль, реализующий автоматическую установку операционной системы;

      • osmax-webadmin — пользовательский интерфейс «Кабинет администратора»;

      • osmax-app-shop — пользовательский интерфейс «Магазин приложений»;

      • inno-ira-tigervnc — VNC-пакет для работы модуля «Удаленный доступ» на агентах (minions);

      • inno-ira-openssh — SSH-пакет для работы модуля «Удаленный доступ» на агентах (minions);

      • inno-ira-xrdp — XRDP-пакет для работы модуля «Удаленный доступ» на агентах (minions);

      • inno-ira-guacamole-server — сервер шлюза удаленного доступа;

      • libinnovncserver — зависимый пакет компонента inno-ira-guacamole-server;

      • libinnofreerdp — зависимый пакет компонента inno-ira-guacamole-server;

      • inno-ira-guacamole-client — WEB-клиент шлюза удаленного доступа;

      • inno-ira-guacamole-schema — БД удаленного доступа;

    • rpm-пакеты, которые используются только при установке продукта на РЕД ОС:

      • osmax-core — сборка бэкенда продукта, содержащая скомпилированный код для массовой установки ПО на устройствах и обработки полученных событий;

      • osmax-provisioner — модуль, реализующий автоматическую установку операционной системы;

      • osmax-webadmin — пользовательский интерфейс «Кабинет администратора»;

      • osmax-app-shop — пользовательский интерфейс «Магазин приложений»;

      • inno-ira-guacamole-schema — БД удаленного доступа;

      • inno-ira-guacamole-client — WEB-клиент шлюза удаленного доступа;

      • inno-ira-guacamole-server — сервер шлюза удаленного доступа;

      • libinnofreerdp — зависимый пакет компонента inno-ira-guacamole-server;

      • libinnovncserver — зависимый пакет компонента inno-ira-guacamole-server;

    • confluent_kafka — wheel-пакет для работы с Kafka Returner (используется только при установке продукта на РЕД ОС);

    • файлы:

      • kafka_return_custom.py — файл с инструментом, который перенаправляет сообщения от агентов в топик Kafka;

      • CHANGELOG.md — файл, содержащий журнал изменений проекта в виде упорядоченного списка версий продукта с датами их выхода и описанием;

      • osmax-doc — файлы в формате PDF с сопроводительной документацией, соответствующей версии продукта.

    Архив с модулем координации (SaltStack)

    Архив включает:

    • deb-пакеты, которые используются только при установке продукта на ОС Astra Linux:

      • osmax-salt-formulas — пакет с формулами — специальными шаблонами для установки ПО на устройствах;

      • salt-api — пакет, предоставляющий REST API для SaltStack;

      • salt-common — пакет, содержащий библиотеки, необходимые для работы SaltStack;

      • salt-master — пакет для установки сервера управления (master), который управляет всеми агентами (minions) в инфраструктуре;

      • salt-minion — пакет для установки агентов (minions) на удаленных серверах;

      • salt-cloud — пакет для управления облачными провайдерами (опциональный модуль);

      • salt-dbg — пакет для отладки установки и поиска ошибок в настройках (опциональный модуль);

      • salt-ssh — пакет для взаимодействия с агентами (minions) через протокол SSH, который может использоваться в качестве альтернативы, не требующей удаленного агента (опциональный модуль);

      • salt-syndic — пакет, который используется для настройки среды с несколькими (masters) серверами управления и позволяет связывать их в единую сеть и управлять ими из одного места (опциональный модуль);

    • rpm-пакеты, которые используются только при установке продукта на РЕД ОС:

      • osmax-salt-formulas — пакет с формулами — специальными шаблонами для установки ПО на устройствах;

      • salt — пакет, содержащий библиотеки, необходимые для работы SaltStack;

      • salt-master — пакет для установки сервера управления (master), который управляет всеми агентами (minions) в инфраструктуре;

      • salt-api — пакет, предоставляющий REST API для SaltStack;

      • salt-minion — пакет для установки агентов (minions) на удаленных серверах.

    Архив с модулем fluent-bit

    Архив включает deb-пакет fluent-bit c системой Fluent Bit, которая используется для сбора, преобразования и передачи лог-файлов аудита в систему-получатель клиента.

    Принципы формирования имен пакетов

    Имена пакетов с основными модулями продукта (osmax) и модулем fluent-bit формируются по шаблону:

    <package_name>_<build_version>-<edition>_<architecture>.<package format>

    Где:

    • package_name — наименование модуля продукта;

    • build_version — версия пакета в соответствии с принципами семантического версионирования (мажорная_версия.минорная_версия.патч-версия);

    • edition — редакция дистрибутива;

    • architecture — архитектура;

    • package format — формат пакета; возможные варианты: .deb, rpm.

    Пример имени deb-пакета:

    osmax-core_1.9.0_amd64.deb
fluent-bit_3.0.7_amd64.deb

    Пример имени rpm-пакета:

    osmax-core-1.9.0~457514.a6ac910e-1.x86_64.rpm

    Имена пакетов модуля координации (salt) формируются по шаблону:

    <package_name>_<build_version>_<architecture>.<package format>

    Где:

    • package_name — наименование модуля продукта;

    • build_version — версия пакета в соответствии с принципами семантического версионирования (мажорная_версия.минорная_версия.патч-версия);

    • architecture — архитектура;

    • package format — формат пакета; возможные значения: .deb, .rpm.

    Пример имени deb-пакета:

    salt-common_3006.4_amd64.deb

    Пример имени rpm-пакета:

    salt-3006.4-0.x86_64.rpm

    Схема развертывания

    На Рис. 1 представлена схема развертывания продукта.

    deploy new
    Рис. 1. Схема развертывания

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-overview.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-01-install-salt.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-02-download-arch-master.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-03-install-master.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-04-configure-master.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-05-kafka-returner-settings.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-05-01-user-sessions-settings.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-06-start-master.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-07-start-salt-api.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-08-download-arch-minion.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-09-install-minion.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-10-configure-minion.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-11-create-public-keys.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-salt/astra-12-start-minion.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-01-install-back-front.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-02-download-arch-core.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-03-install-backend.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-04-insatll-core.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-05-core-config.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-07-install-provisioner.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-08-provisioner-config.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-09-start-provisioner-service.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/astra/astra-install-back-front/astra-10-install-frontend.adoc[]

    Установка модуля fluent-bit

    Установка модуля fluent-bit является опциональной и выполняется после установки модуля координации (SaltStack), бэкенда и фронтенда, в случае если вы используете Fluent Bit для сбора, преобразования и передачи лог-файлов аудита в систему-получатель.

    Подробную информацию об использовании и настройке Fluent Bit см. в официальной документации.

    Чтобы установить модуль fluent-bit, выполните шаги:

    1. Скачайте и распакуйте архив с модулем fluent-bit.

    2. Установите модуль fluent-bit.

    3. Выполните конфигурирование модуля fluent-bit.

    4. Запустите модуль fluent-bit

    Скачивание и распаковка архива с модулем fluent-bit

    Чтобы скачать и распаковать архив с модулем fluent-bit, выполните следующие шаги:

    1. Скачайте архив с deb-пакетом требуемой версии и соответствующие файлы контрольных сумм из предоставленного хранилища любым доступным способом.

    2. (Опционально) убедитесь в целостности архива, сравнив его контрольные суммы с контрольными суммами в соответствующих файлах.

      Пример команды, запускаемой в консоли для проверки целостности:

      shasum -a 512 -c inno-fluent-bit-3.0.7.tar.gz inno-fluent-bit-3.0.7.tar.gz.sha512

    3. Перенесите скачанный архив на машину, на которой установлен бэкенд продукта, выполнив команду scp (secure copy):

      Пример команды:

      scp inno-fluent-bit-3.0.7.tar.gz 10.6.32.218

    4. Создайте временный каталог для распаковки и распакуйте архив.

      Пример команд для создания каталога и распаковки архива:

      mkdir fluent-bit
tar xvf inno-fluent-bit-3.0.7.tar.gz -C osmax

      Пример результата выполнения с содержимым архива:

      x fluent-bit_3.0.7_amd64.deb

    Установка модуля fluent-bit

    На сервере, на котором установлен бэкенд продукта, установите пакет с модулем fluent-bit, выполнив команду:

    sudo apt-get install ./<имя пакета>

    Пример команды:

    sudo apt install ./fluent-bit_3.0.7_amd64.deb

    Конфигурация модуля fluent-bit

    После установки для корректной работы модуля fluent-bit выполните следующие настройки:

    1. Отредактируйте юнит-файл systemd /lib/systemd/system/fluent-bit.service для службы fluent-bit: в поле ExecStart, где указывается команда для запуска службы, замените .conf на .yaml:

      Пример файла:

      [Unit]
Description=Fluent Bit
Documentation=https://docs.fluentbit.io/manual/
Requires=network.target
After=network.target

[Service]
Type=simple
EnvironmentFile=-/etc/sysconfig/fluent-bit
EnvironmentFile=-/etc/default/fluent-bit
ExecStart=/opt/fluent-bit/bin/fluent-bit -c //etc/fluent-bit/fluent-bit.yaml
Restart=always

[Install]
WantedBy=multi-user.target

    1. Создайте конфигурационные файлы службы fluent-bit:

    1. /etc/fluent-bit/fluent-bit.yaml — главный файл конфигурации службы fluent-bit, который определяет параметры и настройки для сбора и передачи данных.

      Пример файла:

      ---
service:
    flush: 1
    daemon: Off
    log_level: info
    parsers_file: parsers-audit-osmax-core.conf
    plugins_file: plugins.conf
    http_server: Off
    http_listen: 0.0.0.0
    http_port: 2020

includes:
    - pipeline-inputs.yaml
    - pipeline-filters.yaml
    - pipeline-outputs.yaml

      Где:

      • service — служебный раздел, определяющий настройки службы fluent-bit:

        • flush — интервал сброса;

        • daemon — режим демона;

        • log_level — уровень журналирования;

        • parsers_file — файл с парсером;

        • plugins_file — файл с плагинам;

        • http_server — настройки HTTP-сервера;

        • http_listen — адрес прослушивания;

        • http_port — порт.

      • includes — файлы конфигурации, включенные в основной файл конфигурации:

        • pipeline-inputs.yaml — файл, описывающий источники входных данных;

        • pipeline-filters.yaml — файл, содержащий фильтры, применяющиеся к входящим данным для их обработки и преобразования;

        • pipeline-outputs.yaml — файл, в котором указываются конечные точки, куда должны быть отправлены обработанные данные после прохождения через фильтры.

    1. /etc/fluent-bit/parsers-audit-osmax-core.conf — файл для настройки парсеров, которые выполняют разбор (парсинг) логов аудита.

      Пример файла:

      [PARSER]
    Name        audit-osmax-core
    Format      json
    Time_Key    timestamp
    Time_Format %Y-%m-%dT%H:%M:%S.%L%z

      Где:

      • [PARSER] — секция, в которой задаются настройки используемых парсеров:

        • Name — имя парсера, который используется для анализа соответствующих записей при обработке данных журнала;

        • Format — формат входных данных для парсера;

        • Time_Key — ключ во входных данных, который содержит информацию о времени;

        • Time_Format — формат времени, используемый для разбора временных меток.

    1. /etc/fluent-bit/pipeline-inputs.yaml — файл, описывающий источники входных данных.

      Пример файла:

      ---
pipeline:
    inputs:
      - name: tail
        path: /app/inno-osmax/audit/osmax/core/audit-osmax-core.log
        db: /app/inno-osmax/audit/osmax/core/audit-osmax-core-fluent-bit.db
        parser: audit-osmax-core

      Где:

      • inputs — список источников данных, из которых Fluent Bit читает информацию;

        • name — тип входного источника данных;

        • path — путь к файлу журнала, из которого Fluent Bit считывает данные;

        • db — путь к базе данных, используемой Fluent Bit для хранения состояния чтения файла журнала;

        • parser — парсер, который используется для обработки данных из указанного файла журнала.

    1. /etc/fluent-bit/pipeline-filters.yaml — файл, содержащий фильтры, которые применяются к входящим данным для их обработки и преобразования.

      Пример файла:

      ---
pipeline:
    filters:
      - name: record_modifier
        match: '*'
        Allowlist_key:
            - correlationId
            - type
            - code
            - object.id
            - object.name
            - class
            - message
            - initiator.sub
            - ipAddress
            - context.sessionId
            - context.url
            - context.method
            - context.traceId
            - context.spanId
            - additionalParams.action
            - additionalParams.сomponentName
            - additionalParams.collectionId
            - additionalParams.collectionName
            - additionalParams.configurationId
            - additionalParams.configurationName
            - additionalParams.configurationPackageName
            - additionalParams.configurationVersionId
            - additionalParams.configurationVersionName
            - additionalParams.datasourceName
            - additionalParams.roleName
            - additionalParams.userName
            - additionalParams.trigger
            - additionalParams.installation
            - additionalParams.minion
            - additionalParams.store
            - additionalParams.formula
            - additionalParams.fileName
            - additionalParams.turn
            - additionalParams.object
            - additionalParams.format
            - additionalParams.relativeConfigurationId
            - additionalParams.reportName
            - additionalParams.user
            - additionalParams.fqdn
            - additionalParams.hostName
            - additionalParams.mac
            - additionalParams.salt_file_name
            - additionalParams.salt_file_status
            - additionalParams.import_result
            - additionalParams.protocol
            - additionalParams.softName
            - scmCategory

      - name: modify
        match: '*'
        condition: Key_Does_Not_Exist object.name
        add: object.name ""

      - name: modify
        match: '*'
        condition: Key_Does_Not_Exist scmCategory
        add: scmCategory ""

      - name: modify
        match: '*'
        add: initiator.channel <customer-channel>
        add: deploymentContext.namespace <customer-namespace>
        add: deploymentContext.podName <customer-podName>

      - name: nest
        match: '*'
        operation: nest
        wildcard: object.*
        nest_under: object
        remove_prefix: object.

      - name: nest
        match: '*'
        operation: nest
        wildcard: initiator.*
        nest_under: initiator
        remove_prefix: initiator.

      - name: nest
        match: '*'
        operation: nest
        wildcard: context.*
        nest_under: context
        remove_prefix: context.

      - name: nest
        match: '*'
        operation: nest
        wildcard: deploymentContext.*
        nest_under: deploymentContext
        remove_prefix: deploymentContext.

      - name: nest
        match: '*'
        operation: nest
        wildcard: additionalParams.*
        nest_under: additionalParams
        remove_prefix: additionalParams.

      - name: modify
        match: '*'
        copy: message operation
        copy: message title
        add: infoSystemCode 2158
        add: infoSystemId SCMM
        add: version 1.0
        add: mandatory true
        add: ipNearbyNode <customer-ipNearbyNode>
        add: ipRecepient <customer-ipRecepient>

      - name: modify
        match: '*'
        condition: Key_Exists exception
        hard_copy: exception message

      Где:

      • record_modifier — фильтр, который используется для изменения или модификации записей журналов, например, для добавления, изменения или удаление полей в записях журналов;

      • modify — фильтр, который также используется для изменения или модификации записей журналов, например, для изменения значений полей, удаления или переименования полей и выполнения других подобных операций;

      • nest — фильтр, который используется для вложения полей журнальных записей в другие поля.

    1. /etc/fluent-bit/pipeline-outputs.yaml — файл, в котором указываются конечные точки, куда должны быть отправлены обработанные данные после прохождения через фильтры.

      Пример файла:

      ---
pipeline:
    outputs:
      - name: kafka
        match: '*'
        brokers: 10.31.1.9:9092
        topics: audit
        message_key_field: correlationId
        timestamp_key: timestamp
        timestamp_format: iso8601

      Где:

      • outputs — список выходных потоков данных;

        • name — тип выходного потока данных;

        • match — параметр, который определяет, какие данные отправляются в указанный выходной поток;

        • brokers — переменная, содержащая адреса брокеров Kafka, к которым подключается Fluent Bit для отправки данных;

        • topics — переменная, определяющая имя темы Kafka, в которую отправляются данные;

        • message_key_field —  поле в сообщении, которое используется в качестве ключа (key) для Kafka-сообщения;

        • timestamp_key — поле в сообщении, которое используется для временной метки (timestamp) Kafka-сообщения;

        • timestamp_format — формат временной метки сообщения.

    Запуск службы fluent-bit

    После установки и настройки модуля, запустите службу fluent-bit, выполнив команду:

    sudo systemctl start fluent-bit

    Для проверки статуса запуска службы используйте команду:

    sudo systemctl status fluent-bit

    В случае ошибок проверьте логи системы (см. раздел «Рекомендации по сбору и предоставлению информации о проблеме/ошибке» документа «Руководство по эксплуатации»).

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/astra-ira/astra-install-ira-overview.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/astra-ira/astra-prequisites-ira.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/astra-ira/astra-deploy-ira.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/astra-ira/astra-install-ira.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/astra-ira/astra-ira-config/astra-ira-logging-audit/astra-ira-logging-audit.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-overview.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-01-install-salt.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-02-download-arch-master.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-03-install-master.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-04-configure-master.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-05-kafka-returner-settings.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-05-01-user-sessions-settings.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-06-start-master.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-07-start-salt-api.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-08-download-arch-minion.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-09-install-minion.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-10-configure-minion.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-11-create-public-keys.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-salt/redos-12-start-minion.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-01-install-back-front.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-02-download-arch-core.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-03-install-backend.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-04-insatll-core.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-05-core-config.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-07-install-provisioner.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-08-provisioner-config.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-09-start-provisioner-service.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/redos/redos-install-back-front/redos-10-insatll-frontend.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/redos-ira/redos-install-ira-overview.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/redos-ira/redos-prequisites-ira.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/redos-ira/redos-install-ira.adoc[]

    Unresolved include directive in modules/ROOT/pages/install-guide-toc.adoc - include::../../../content/pdf/pdf-ira/redos-ira/redos-ira-config/redos-ira-logging-audit/redos-ira-logging-audit.adoc[]

    Глоссарий

    Certificate Revocation List (CRL)

    Список отозванных сертификатов. Список сертификатов, которые удостоверяющий центр (Certificate Authority — CA) пометил как отозванные. Используется для проверки действительности сертификата. CRL содержит информацию о сертификатах, которые больше не должны использоваться, например, если они были скомпрометированы или утеряны.

    Cron-формат

    Формат времени, используемый в системах планирования задач в операционных системах Unix и Linux. Этот формат представляет собой строку, которая содержит шесть или семь полей, разделенных пробелами или табуляцией. В каждом поле задано значение времени или даты, когда задача должна быть выполнена. Поля могут содержать любые разрешенные значения, а также различные комбинации разрешенных специальных символов для этого поля.

    Deb-пакет (Debian package)

    Формат упаковки программного обеспечения для операционной системы Debian и ее производных, таких как Ubuntu. Deb-пакет содержит программу или библиотеку, а также информацию о зависимостях и конфигурации. Он может быть установлен с помощью менеджера пакетов, например, apt-get или dpkg. Deb-пакеты облегчают установку и обновление программного обеспечения в системе, а также позволяют управлять зависимостями между пакетами.

    Java Naming and Directory Interface (JNDI)

    Интерфейс в языке Java, который позволяет приложениям обращаться к различным сервисам и ресурсам через их имена. Используется для доступа к данным и объектам через различные протоколы, такие как LDAP (Lightweight Directory Access Protocol), файловые системы, JDBC и другие.

    PKCS#12

    Один из стандартов семейства Public-Key Cryptography Standards (PKCS), опубликованных RSA Laboratories.

    Privacy Enhanced Mail (PEM)

    Формат кодирования данных, который используется для хранения и передачи сертификатов, закрытых ключей, а также других конфиденциальных данных в виде текста. Формат PEM был разработан для безопасной передачи электронной почты, но сейчас широко используется в SSL/TLS-сертификатах и других системах безопасности.

    Role Based Access Control (RBAC)

    Управление доступом на основе ролей.

    Service Principal Name (SPN)

    Уникальное имя для аутентификации службы в рамках протокола Kerberos.

    Агент (в терминологии SaltStack: Minion)

    Служебный узел, который управляется с помощью модуля координации. Он может являться физической или виртуальной машиной, контейнером или сетевым устройством. Агент подключается к серверу управления и получает от него команды для выполнения различных задач, таких как установка программного обеспечения, настройка конфигурации или мониторинг состояния системы. Агенту присваивается свой уникальный идентификатор, который используется для идентификации узла на сервере управления.

    Версия конфигурации

    Сущность продукта, которая представляет собой отдельный файл в формате JSON. Файл загружается в модуль «Кабинет администратора» и позволяет изменять конфигурацию в соответствии с требованиями пользователя. В файле указывается идентификатор версии, мета-атрибуты версии и параметры формулы, доступные для переопределения.

    Кабинет администратора

    Графический интерфейс администратора для работы с коллекциями пользователей и устройств, настройки конфигураций, постановки задач на исполнение конфигураций, а также отслеживания статуса применения конфигураций к устройствам.

    Коллекция устройств

    Сущность продукта, которая представляет собой список устройств, сформированный в результате фильтрации всех устройств по атрибутам самих устройств и атрибутам пользователей, ассоциированных с ними. Существуют статические и динамические коллекции. Список устройств в статических коллекциях обновляется только при создании коллекции или администратором вручную. Список устройств в динамических коллекциях обновляется автоматически по заданному расписанию, а также администратором при создании и редактировании.

    Конфигурация

    Сущность продукта, которая представляет собой отдельный файл в формате JSON, содержащий описание набора метаданных для формулы SaltStack. Файл загружается в модуль «Кабинет администратора», и, используя формулу, обеспечивает выполнение установки и настройки системы в соответствии с требованиями пользователя.

    Магазин приложений

    Графический интерфейс, посредством которого сотрудники организации могут выполнять автоматизированную установку, удаление и обновление ПО на своих устройствах.

    Сервер управления (в терминологии SaltStack: Master)

    Центральный узел в инфраструктуре управления конфигурацией. Управляет всеми устройствами в инфраструктуре — агентами, отправляет команды на выполнение, хранит конфигурационные данные и предоставляет отчеты о выполнении задач. Также обеспечивает безопасную и защищенную связь между устройствами и сервером управления.

    Формула

    Сущность SaltStack, представляющая собой директорию с файлами состояний (файлы с расширением .sls) в формате YAML. Файлы состояний определяют поведение и конечное состояние системы, которого она должна достичь после применения формулы, и используются для установки, настройки и управления программным обеспечением, настройки сетевых параметров, создания пользователей и др. Виды формул:

    • готовые — загруженные на сервер готовые к использованию формулы с настройками по умолчанию; при необходимости могут быть переопределены пользователем;

    • пользовательские — готовые формулы, для корректной работы которых необходимо создать пользовательскую конфигурацию;

    • формулы-шаблоны — формулы, которые используются в качестве примера для создания собственных формул подобного типа.

    Сокращения

    AD

    Active Directory
    CRL

    Certificate Revocation List
    JNDI

    Java Naming and Directory Interface
    RBAC

    Role Based Access Control
    SPN

    Service Principal Name
    ОС

    Операционная система
    ПО

    Программное обеспечение