Введение
Назначение системы
Назначение программного обеспечения «Орлан» (далее – ПО «Орлан»): контроль прав доступа пользователей, контроль размещения конфиденциальных данных, расследование действий сотрудников, оповещение об аномальной активности, поиск дубликатов файлов, и другие задачи.

Терминология
Для целей настоящего Руководства, термином «пользователь» будет обозначаться сотрудник компании, где установлено ПО «Орлан». Сотрудник (пользователь) работает с неструктурированными данными, расположенными на платформах, контролируемых с помощью ПО «Орлан». С этой точки зрения, например, администратор домена или служебная учётная запись, из-под которой выполняется автоматизированный процесс, тоже является «пользователем» в терминах данного документа.
Термин «Администратор» будет означать сотрудника компании, эксплуатирующей ПО «Орлан», в ответственность которого входят следующие операции:
- подготовка инфраструктуры, установка, и базовая настройка ПО «Орлан»,
- обновление версий ПО «Орлан»,
- резервное копирование и восстановление ПО «Орлан»,
- настройка необходимых прав доступа, требуемых сетевых портов и подключение контролируемой информационной инфраструктуры,
- поддержание работоспособности ПО, решение несложных проблем при эксплуатации ПО «Орлан»,
- взаимодействие со службой технической поддержки поставщика ПО «Орлан».
Администратор работает с графическим интерфейсом ПО «Орлан» для решения перечисленных выше задач.
Термином «Оператор» будет обозначаться сотрудник, не являющийся Администратором, работающий в графическом интерфейсе пользователя ПО «Орлан», и выполняющий задачи в области ИТ и ИБ, для решения которых предназначено ПО «Орлан».
Под термином «платформа» понимается система, которая контролируется с помощью ПО «Орлан», например, файловый сервер Windows, система файлового хранения NetApp NAS, каталог пользователей, или почтовая система.

Целевая аудитория
Этот документ предназначен для сотрудников компании-заказчика («Администраторов»), для решения задач администрирования, перечисленных в предыдущем пункте. В настоящем документе не отражены вопросы, связанные с решением задач в области ИТ и ИБ с помощью ПО «Орлан». Эти вопросы покрыты в документе «Руководство пользователя».

Помощь
Если у вас есть вопросы или проблемы, связанные с эксплуатацией ПО «Орлан», а также замечания и предложения по документации, вы можете связаться с производителем по адресу:
support@orlansec.ru

Требования для интеграции ПО «Орлан»
Данный раздел документации описывает общие вопросы, связанные с интеграцией ПО «Орлан» с контролируемыми платформами.

Общие требования к технологическим учётным записям (ТУЗ)
В имени учётной записи (и в пароле) должны быть только латинские буквы (ASCII символы) и цифры (без пробелов), «минус», и нижнее подчеркивание. Для пароля, дополнительно, некоторые общепринятые спецсимволы, типичные для паролей. Длина логинов и паролей ограничена 32 символами.

Общие требования для интеграции с Active Directory
Для интеграции с AD (сканирование домена по LDAP и чтение изменений GPO) используется доменная ТУЗ, имеющая следующие права:
- член доменной группы «Domain Users»;
Необходимо открыть порт 389/TCP (LDAP) или 636/TCP (LDAPS) с главного сервера ПО «Орлан» хотя бы к одному контроллеру домена.

Требования для сбора событий с Active Directory без использования WEC
Для сбора событий из AD (чтение журналов событий безопасности) БЕЗ использования концентратора журналов (WEC) и БЕЗ использования Агента, используется доменная ТУЗ, с правами, как описано в предыдущем пункте, плюс следующая привилегия:
- член доменной группы «Event Log Readers».

Требования для сбора событий с Active Directory с использованием WEC
В данном разделе описана интеграция с помощью WEC (Windows Event Collector). Также необходимо сканирование по LDAP, поэтому тех. УЗ должна быть членом доменной группы «Domain Users».
Настройка отправителя (контроллера домена)
Необходимо предоставить права от имени кого будет производиться подключение к серверам, откуда будут поступать логи. Два варианта, кому можно предоставить нужные права либо учетной записи компьютера, либо доменной учетной записи.
Для того, чтобы компьютер-клиент (контроллер домена) знал, куда отправлять логи, ему нужно указать URL сервера WEC. Этот url можно указать в групповой (или локальной) политике, в консоли - gpedit.msc , по пути:
Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Пересылка событий
Computer Configuration -> Administrative Templates -> Windows Components -> Event Forwarding. После всех действием рекомендуется перезагрузка контроллера домена.

Настройка получателя (Windows-сервер с WEC)
На сервер WEC необходимо установить Агент ПО «Орлан» для сбора событий из AD. Агент входит в состав дистрибутива ПО «Орлан». Необходимо выбрать опцию «Агент Active Directory». Необходимо открыть порт 4569/TCP от коллекторов ПО «Орлан» до серверов WEC с установленным Агентом.
Требования для интеграции с файловыми серверами Windows
Для интеграции с файловыми серверами Windows (как одиночными, так и кластерами) используется доменная ТУЗ, имеющая следующие права:
- член доменной группы «Domain Users»;
- член локальной группы данного файлового сервера «Power Users»;
- член локальной группы данного файлового сервера «Backup Operators».
 
Для сбора событий об операциях пользователей с файлами, необходимо установить Агент из единого дистрибутива, выбрав опцию «Агент хранилищ Windows»:

Необходимо открыть порт 4568/TCP от коллекторов ПО «Орлан» до файловых серверов Windows с установленным Агентом.

Требования для интеграции с почтовыми серверами MS Exchange
Для интеграции с MS Exchange используется доменная ТУЗ, имеющая следующие права:
- член доменной группы «Domain Users»;
- в организации Exchange создан почтовый ящик для пользователя ТУЗ;
- в организации Exchange пользователю ТУЗ делегированы права «Application Impersonation».
 
Также на серверах CAS и MBX (для Exchange версий до 2016), либо на всех серверах, кроме Edge (начиная с версии 2016) необходимо установить Агент ПО «Орлан» из единого дистрибутива Агентов под Windows, выбрав опцию Агент Exchange Server:

Необходимо открыть порт 4568/TCP от коллекторов ПО «Орлан» до серверов Exchange с установленным Агентом.
Требования для интеграции с файловыми серверами Linux Samba
Для интеграции с файловыми серверами Linux SAMBA используется доменная ТУЗ, имеющая права администратора в настройках SAMBA. Поддерживается версия 4.x.
Для сбора событий об операциях с файлами необходимо установить Агент.
Для установки Агента перейдите в каталог с дистрибутивом Агента, и выполните следующую команду для дистрибутивов, основанных на Debian (deb), например, Astra Linux. Все команды, а также работа Агента, выполняются от имени пользователя root.
sudo apt install ./orlan-linux-protect-service-1.7.11.x86_64.deb – где 1.7.11 версия Агента (может отличаться на момент установки)
Для дистрибутивов, основанных на RHEL (rpm), например, RedOS:
sudo dnf install ./orlan-linux-protect-service-1.7.11.x86_64.rpm

Требования для интеграции с порталами Microsoft SharePoint
Для интеграции с MS SharePoint используется одна или две ТУЗ, в зависимости от требований:
- Для работы через API (сканирование дерева объектов, прав доступа, полнотекстовая классификация) используется доменная ТУЗ, которая должна быть членом локальной группы «Administrators» на всех серверах SharePoint в ферме, имеющих роль WFE (web fronr-end). Также эта же ТУЗ должна быть добавлена в самом SharePoint в «Администраторы Фермы»;
- Для работы с СУБД содержимого (сканирование конфигурации, чтение некоторых событий) требуется или доменная УЗ, или локальная УЗ, имеющая на СУБД MS SQL Server роль, достаточную для чтения всех данных.
Для работы необходима установка Агента, которая выполняется путем запуска единого дистрибутива Агента ПО «Орлан», с выбором опции «Агент SharePoint Server»:

Требования для интеграции с СХД NetApp NAS
В данном разеле приведены требования для интеграции с СХД NetApp NAS.

Версия NetApp
Текущая версия «Требований» подразумевают версию ONTAP 9.11 и выше.

Требования к локальной технологической учётной записи
ПО «Орлан» использует REST API (по протоколу HTTPS) для получения информации о конфигурации NetApp NAS. Для работы по REST API на NetApp необходимо создать локальную учётную запись со способом доступа (application) “http”, и методом аутентификации “password”.
Если на одном кластере NetApp расположено сразу несколько виртуальных файловых хранилищ (SVM / vServer), и все (или большинство) этих SVM будут наблюдаться в ПО «Орлан», то рекомендуется добавить REST API кластера целиком, и затем просто выбирать контролируемые SVM из списка в графическом интерфейсе ПО «Орлан», вместо того чтобы добавлять SVM по одной.

Требования к доменной технологической учётной записи (SMB) для NetApp
Доменная технологическая учётная запись (ТУЗ) используется для сканирования прав доступа и для выполнения полнотекстовой классификации данных, хранящихся в общих сетевых папках на NetApp NAS.
Доменная ТУЗ не имеет отдельных привилегий в домене, то есть это обычный пользователь домена (член единственной группы Domain Users), с паролем из ACSII-символов (латинские большие и маленькие буквы, цифры и базовые спецсимволы), без символов UTF-8/Unicode в пароле.
На тех SVM, где расположены наблюдаемые файловые ресурсы, необходимо добавить доменную ТУЗ в локальные группы Power Users и Backup Operators на CIFS-сервере SVM. Это можно сделать либо из-под стандартной Windows-оснастки Computer Management, либо в графическом интерфейсе можно добавить УЗ в локальные группы: Storage – Storage VMs – Settings – Host Users and Groups – Windows.

Технологическая УЗ должна иметь права доступа на уровне Share Permissions (разрешения общей сетевой папки) уровня «Чтение», если на контролируемых сетевых папках не настроен разрешающий доступ всем пользователям.

Создание и настройка политики FPolicy в контексте каждой отдельной SVM
В данном разделе описано создание политик FPolicy для протоколов SMB и NFS

Настройка для протокола SMB

Создать набор событий для мониторинга:
fpolicy policy event create -event-name fp_orlan_events_cifs -protocol cifs -file-operations create, create_dir, delete, delete_dir, open, close, read, write, rename, rename_dir, setattr -filters first-read, first-write, open-with-delete-intent
Создать внешний обработчик событий:
fpolicy policy external-engine create -engine-name fp_ex_orlan_eng_cifs -primary-servers <IP-адрес Коллектора Орлан > -port 2002 -extern-engine-type asynchronous -ssl-option no-auth
(рекомендации по распределению трафика между primary и secondary-коллекторами будут даны в будущих версиях документа)
Создать новую политику FPolicy:
fpolicy policy create -policy-name fp_orlan_cifs -events fp_orlan_events_cifs -engine fp_ex_orlan_eng_cifs -is-mandatory false
Создать область действия для политики FPolicy (это условный пример, заказчик может выбрать конкретные тома или сетевые папки:
fpolicy policy scope create -policy-name fp_orlan_cifs -volumes-to-include "*" -export-policies-to-include "*"
Включить созданную политику FPolicy:
fpolicy enable -vserver <vserver_name> -policy-name fp_orlan_cifs -sequence-number 1

Настройка для протокола NFS v3

Создать набор событий для мониторинга:
fpolicy policy event create -event-name fp_orlan_events_nfs3 -protocol nfsv3 -file-operations create, create_dir, delete, delete_dir, read, write, rename, rename_dir, setattr -filters first-read, first-write
Создать внешний обработчик событий:
fpolicy policy external-engine create -engine-name fp_ex_orlan_eng_nfs3 -primary-servers <IP-адрес Коллектора Орлан > -port 2002 -extern-engine-type asynchronous -ssl-option no-auth
(рекомендации по распределению трафика между primary и secondary-коллекторами будут даны в будущих версиях документа)
Создать новую политику FPolicy:
fpolicy policy create -policy-name fp_orlan_nfs3 -events fp_orlan_events_nfs3 -engine fp_ex_orlan_eng_nfs3 -is-mandatory false
Создать область действия для политики FPolicy (это условный пример, заказчик может выбрать конкретные тома или сетевые папки:
fpolicy policy scope create -policy-name fp_orlan_nfs3 -volumes-to-include "*" -export-policies-to-include "*"
Включить созданную политику FPolicy:
fpolicy enable -vserver <vserver_name> -policy-name fp_orlan_nfs2 -sequence-number 2

Настройка для протокола NFS v4 (примечание: NetApp 9.11 поддерживает только NFS 4.0)

Создать набор событий для мониторинга:
fpolicy policy event create -event-name fp_orlan_events_nfs4 -protocol nfsv4 -file-operations create, create_dir, delete, delete_dir, read, write, rename, rename_dir, setattr -filters first-read, first-write
Создать внешний обработчик событий:
fpolicy policy external-engine create -engine-name fp_ex_orlan_eng_nfs4 -primary-servers <IP-адрес Коллектора Орлан > -port 2002 -extern-engine-type asynchronous -ssl-option no-auth
(рекомендации по распределению трафика между primary и secondary-коллекторами будут даны в будущих версиях документа)
Создать новую политику FPolicy:
fpolicy policy create -policy-name fp_orlan_nfs4 -events fp_orlan_events_nfs4 -engine fp_ex_orlan_eng_nfs4 -is-mandatory false
Создать область действия для политики FPolicy (это условный пример, заказчик может выбрать конкретные тома или сетевые папки:
fpolicy policy scope create -policy-name fp_orlan_nfs4 -volumes-to-include "*" -export-policies-to-include "*"
Включить созданную политику FPolicy:
fpolicy enable -vserver <vserver_name> -policy-name fp_orlan_nfs4 -sequence-number 3

Используемые порты и протоколы
Порт/протокол Источник соединения Приемник соединения Назначение, описание
445/TCP (SMB) Главный сервер ПО «Орлан»
+ все коллекторы ПО «Орлан» NetApp SVM Data LIF (логический интерфейс для передачи данных SMB) Сканирование структуры папок, прав доступа, полнотекстовая классификация данных
443/TCP (Https) Главный сервер ПО «Орлан»
+ все коллекторы ПО «Орлан» NetApp Cluster/SVM Management LIF Запросы конфигурации по REST API
2002/TCP (fpolicy) NetApp SVM Data LIF Все коллекторы ПО «Орлан» Протокол передачи событий NetApp FPolicy
2049/TCP (NFS)* Главный сервер ПО «Орлан»
+ все коллекторы ПО «Орлан» NetApp SVM Data LIF (логический интерфейс для передачи данных NFS) Сканирование структуры папок, прав доступа, полнотекстовая классификация данных
111/TCP (NFS portmapper)* Главный сервер ПО «Орлан»
+ все коллекторы ПО «Орлан» NetApp SVM Data LIF (логический интерфейс для передачи данных NFS) Сканирование структуры папок, прав доступа, полнотекстовая классификация данных

Только если планируется наблюдение протокола NFS. При этом важно проверить, что в NFS Export Policies не настроена фильтрация по IP-адресам, препятствующая обращениям по протоколу NFS с коллекторов ПО «Орлан»

Требования для интеграции с СХД Hitachi NAS
Общие требования
Требования к межсетевым экранам: порты 139/tcp (SMB), 445/tcp (SMB), 2049/tcp (NFS), 111/tcp (NFS). Все эти порты надо открыть от каждого из коллекторов с ПО «Орлан», ответственных за данный сетевой сегмент с файловыми ресурсами, в сторону. Также, все эти же порты открыть от основного сервера с ПО «Орлан» (Core) в сторону HNAS. Также надо открыть порт 514/udp (SYSLOG) от HNAS в сторону коллекторов ПО «Орлан», ответственных за данный сетевой сегмент с файловыми ресурсами.
Требования к версии HNAS: не ниже 13.9.6800
Предполагается, что на HNAS включена полноценная аутентификация пользователей. Это можно проверить командой “cifs-auth list” как для общего кластерного контекста безопасности, так и для каждой EVS с индивидуальным контекстом безопасности. Команда должна отобразить значение “on” или “enabled”.
Также предполагается, что все подключаемые в рамках пилота EVS, имеющие индивидуальный контекст безопасности, введены в домен AD, подключенный к ПО «Орлан».
Убедитесь, что интересующие нас протоколы работают на требуемых EVS командой “service-running”
На EVS и файловых системах, участвующих в тестировании, проверьте, что модель прав доступа установлена в Mixed (Windows and UNIX):
security-mode get
Рекомендуется автоматически добавлять администраторов домена в локальную группу Administrators:
give-domain-administrators-local-administrator-rights
Рекомендуется установить кодировку для всех протоколов в UTF-8 для корректной работы ПО «Орлан»:
protocol-character-set --all UTF-8
Убедитесь, что работа в режиме «множества организаций» не активна (disabled), так как такой режим не поддерживается в ПО «Орлан», поскольку не используется у корпоративных заказчиков:
server:$ multi-tenancy-show
Multi-tenancy is disabled.

Рекомендуется пилотировать ПО «Орлан» на какой-либо одной EVS, на которой настроен индивидуальный (не-кластерный) контекст безопасности и своё пространство имён:
server:$ evs-security list
EVS id Per EVS security status
------ -----------------------
individual

Создайте в домене технологическую учётную запись для работы ПО «Орлан», без специальных привилегий в домене, но желательно с паролем без кириллицы и без ограничений по сроку действия.
Добавьте доменную технологическую УЗ для работы ПО «Орлан» в локальную группу Backup Operators (операторы архива) на HNAS.
Также важно добавить УЗ «Орлан» в локальную группу Audit Service Accounts, чтобы УЗ «Орлан» была исключена из аудита, и не генерировала события при сканировании файлов (при полнотекстовой классификации).
Вернитесь на страницу File Services и настройте политику аудита.
В разделе Log roll over policy, выберите желаемый вариант перезаписи старых журналов - New или Wrap (рекомендуемое значение - Wrap). Нажмите OK, чтобы закрыть окно.

Настройка аудита на уровне общей сетевой папки
На рабочей станции или сервере с ОС Windows в том же домене, что и HNAS, запустите оснастку Computer Management из-под доменной учетной записи, которая является членом локальной группы Administrators на HNAS. Соединитесь с конкретной EVS, используя либо имя, либо IP-адрес EVS.
Перейдите в раздел Computer Management > System tools > Shared Folders > Shares.
Оснастка отобразит список виртуальных файловых систем (Virtual File Systems).
Кликните правой кнопкой нужную сетевую папку и выберите Properties.
На закладке Share Permissions проверьте, что у технологической учетной записи ПО «Орлан» есть права на чтение данной сетевой папки (через группы Everyone, Domain Users, через другие группы, либо напрямую).
На закладке Security кликните Advanced, перейдите на закладку Auditing, и кликните Edit, затем включите аудит.
Сохраните изменения в настройках аудита и примените их «вниз» (на всё дерево папок).
В списках настроек аудита (SACL, Security ACL), нельзя отдельно добавить технологическую учетную запись ПО «Орлан» с настройкой “Deny” (чтобы аудит по ней не собирался), но в новых версиях прошивки HNAS появилась группа Audit Service Accounts, в которую надо включить УЗ «Орлан», чтобы не генерировать события аудита.

Требования для интеграции с СХД Huawei NAS
ПО «Орлан» осуществляет с файловым хранилищем Huawei NAS следующие виды взаимодействия: считывание структуры дерева папок и файлов, полнотекстовая классификация содержимого файлов, поиск одинаковых файлов (дубликатов), поиск похожих файлов, сбор событий об операциях пользователей с файлами, расположенными в общих сетевых папках SMB и в экспортах NFS, сбор событий о подключении и отключении пользователей от сетевых ресурсов (login/logout). Основные требования для подключения:
Требования к прошивке NAS Huawei Dorado: версия 6.1.3 или выше.

Требования к межсетевым экранам: Открытые порты SMB (TCP 139, 445) и NFS (TCP/UDP 111, 2049) от главного сервера и от всех коллекторов ПО «Орлан» до сетевых интерфейсов NAS, осуществляющих обработку трафика SMB и NFS.

Требование к технологической учётной записи: Пользователь домена, на NAS должен быть добавлен в локальные группы Power Users и Backup Operators на всех vStore, которые будут контролироваться ПО «Орлан».

Доступ по REST API к Huawei Dorado не требуется.
Конкретные параметры аудита можно настроить на уровне файловой системы (в этом случае не требуется ничего изменять в настройках аудита SACL на уровне папок). Именно этот способ описан далее. Также есть возможность настроить аудит на уровне конкретных папок через Свойства - Безопасность (SACL), этот способ НЕ рассматривается в настоящем документе.

Требования для интеграции с СХД EMC Data Domain
ПО «Орлан поддерживает интеграцию с Data Domain модели 4.0 и выше, с версией операционной системы 6.2.1.40 и выше.
) Создайте в AD группу с названием, например, «orlan-scanner-users», в которую включите технологическую доменную УЗ, используемую в ПО «Орлан» для сканирования EMC Data Domain.
) Зайдите в консоль управления Data Domain из-под пользователя с административными правами, и перейдите в раздел Protocols -> CIFS.
) Поочерёдно выберите (отметьте чекбоксом) общие сетевые папки, которые будут наблюдаться в ПО «Орлан», и нажмите MODIFY.
) Проверьте, что не заданы ограничения на пользователей или на клиентские компьютеры. Если заданы – то необходимо добавить главный сервер (Core) и все коллекторы ПО «Орлан» в список допущенных клиентов (по IP-адресам), а ранее созданную группу – в список допущенных клиентов, и сохранить изменения. Рекомендуется установить максимальное число соединений в Unlimited, для нормальной работы ПО «Орлан».
) Перейдите в раздел Administration -> Access Management -> Authentication и убедитесь, что используется аутентификация через AD (ПО «Орлан» поддерживает только этот способ аутентификации). Необходимо добавить этот домен AD в ПО «Орлан», как описано в документе «Руководство Администратора ПО Орлан» ПЕРЕД добавлением EMC Data Domain в ПО «Орлан».
Опция Active Directory Administrative Access должна быть установлена в значение Enabled.
6 ) В списке пользователей, нажмите «Добавить» (знак плюс), и выберите ранее созданную группу AD, где находится ТУЗ для ПО «Орлан», и выберите уровень доступа (встроенную роль) “backup-operator”, затем сохраните изменения.
Важное замечание – в некоторых средах (инфраструктурах) этой привилегии может быть недостаточно, и в таком случае необходимо будет дать группе с ТУЗ ПО «Орлан» привилегию “admin”.
7 ) Перейдите в раздел Protocols -> CIFS -> Configuration и проверьте, что опции “support-smb2” и “domain-account-mmc-share-management” установлены в Enabled, что в секции “dd backup-operator group1” видно группу с ТУЗ «Орлан», и что “loglevel” установлена в «3». Если это не так – то нажмите Configure Options и выберите требуемый уровень логов (3).
После сохранения результатов, зайдите на Data Domain по SSH под администратором, и дайте команду log view debug/cifs/cifs.log
В консоли должны отобразиться операции SMB, с уровнем INFO, с реальными событиями.
8 ) Для добавления EMC Data Domain в ПО «Орлан», необходимо выбрать соответствующую опцию при создании файлового ресурса.
Дальнейшие шаги по подключению описаны в документе «Руководство Администратора»

Требования для интеграции с СХД Synology NAS
Для интеграции с Synology NAS потребуется доменная технологическая УЗ (далее «ТУЗ»). На СХД Synology нет встроенной привилегии или локальной группы “Backup Operators”, поэтому необходимо обеспечить, чтобы ТУЗ имела явно назначенный доступ ко всем папкам и файлам на уровне NTFS.

Требования для интеграции с внешними почтовыми системами
Для рассылки уведомлений об инцидентах на контролируемых платформах, и о проблемах с состоянием самого ПО «Орлан», необходимо использовать технологическую УЗ, имеющую возможность аутентифицироваться на SMTP-сервере (при необходимости), при этом SMTP-сервер должен быть доступен по любому TCP-порту с главного сервера ПО «Орлан» с использованием или без использования протоколов SSL и/или TLS, для отправки почты по протоколу SMTP внутри организации Заказчика.
 

Установка ПО «Орлан» из образов виртуальных машин (OVF)
Данный раздел документации описывает общие вопросы, связанные с установкой ПО «Орлан» из образов виртуальных машин.

Развертывание образов на физические или виртуальные машины
Разверните поставленные производителем или поставщиком образы виртуальных машин (virtual appliances) на инфраструктуру виртуальных машин, используя следующую схему:
- orlan-core.ova – главный сервер (1 сервер);
- orlan-ui.ova – веб-интерфейс (1 сервер);
- orlan-collector.ova – коллектор (1 или более серверов);
- orlan-postgres.ova – СУБД PostgreSQL (1 или 2 сервера);
- orlan-kafka.ova – шина данных Kafka (1 или более серверов);
- orlan-opensearch.ova – NoSQL база данных OpenSearch (1 или более серверов).
После установки ПО «Орлан» из образов проверьте статус служб. Выполните следующие команды на соответствующих компонентах:
На Core Astra Linux – systemctl status orlan-task.service;
На UI Astra Linux – systemctl status orlan-ui.service;
На Postgres Astra Linux – sudo systemctl status postgresql.service;
На Collector Astra Linux – systemctl status orlan-collector.service;
На Kafka Astra Linux – systemctl status kafka.service, systemctl status kafka-ui.service, systemctl status kafka-connect.service;
На OpenSearch Astra Linux – systemctl status opensearch.service, systemctl status opensearch-dashboards.service;
На Core RedOS – systemctl status orlan-task.service --user;
На UI RedOS – systemctl status orlan-ui.service --user;
На Postgres RedOS – sudo systemctl status postgresql.service --user;
На Collector RedOS – systemctl status orlan-collector.service --user;
На Kafka RedOS – systemctl status kafka.service --user, systemctl status kafka-ui.service --user, systemctl status kafka-connect.service --user;
На OpenSearch RedOS – systemctl status opensearch.service --user, systemctl status dashboards.service --user;
Смените пароль Ansible vault на сервере Core (стандартный Admin123) командой ansible-vault rekey inventories/«имя файла inventories»/group_vars/all/secret.yml.

Настройка параметров сети
На всех импортированных виртуальных машинах, настройте статический ip-адрес. Для ОС Astra Linux отредактируйте файл: /etc/network/interfaces, выполните команду nano /etc/network/interfaces, где:
Address – ip-aдрес машины;
Gateway – шлюз по умолчанию;
Dns-nameservers – адреса доступных DNS-серверов в локальной сети;
Dns-search – имя домена.
Для ОС RedOS отредактируйте файл: /etc/NetworkManager/system-connections/ens192.nmconnection, выполните команду nano /etc/NetworkManager/system-connections/ens192.nmconnection, где:
id – имя сетевого интерфейса;
address1 – IP-адрес/маска-подсети, шлюз по умолчанию;
dns – адреса доступных DNS-серверов в локальной сети;
Для сохранения файла используйте сочетание клавиш «ctrl+x» и нажмите «y».
В файле /etc/resolv.conf содержатся адреса DNS-серверов, к которым имеет доступ данная Система.
В параметре «search» укажите имя домена, в параметре «nameserver» укажите адреса DNS-сервера.

Настройка дисковой подсистемы
Для просмотра подключенных дисков на виртуальной машине введите в терминале команду:
sudo fdisk -l или sudo lsblk.

Установка ПО «Орлан» из дистрибутива
Для установки Системы из дистрибутивов выполните описанные ниже действия следующем порядке:
Выполните следующие действия и команды на каждом сервере Системы:
Добавьте строку AllowUsers orlan для предоставления доступа по ssh пользователю orlan выполнив следующую команду:
/etc/ssh/sshd_config
Добавьте пользователя orlan в файл sudoers для предоставления прав на выполнение команды sudo выполнив следующую команду:
sudo nano /etc/sudoers
Укажите IP адреса серверов, короткие их имена и полные их имена в файле hosts выполнив следующую команду:
nano /etc/hosts
Укажите имена серверов в файле hostname выполнив следующую команду:
nano /etc/hostname
Подключите репозитории к всем серверам;
Создайте пользователя orlan выполнив следующую команду:
sudo useradd -m -d /home/orlan orlan
Создайте группу orlan выполнив следующую команду:
groupadd orlan
Создайте папку .ssh выполнив следующую команду:
mkdir /home/orlan/.ssh
Назначьте права на созданную папку .ssh выполнив следующую команду:
chmod 700 /home/orlan/.ssh
Назначьте рекурсивно владельца папки .ssh выполнив следующую команду:
chown -R orlan:orlan /home/orlan/.ssh

Выполните следующие действия и команды на каждом сервере Системы, кроме Opensearch и Kafka:
Создайте папку orlan выполнив следующую команду:
sudo mkdir /opt/orlan

Выполните следующие действия и команды на сервере Core:
Положите файл с дистрибутивом по пути /home/orlan;
Распакуйте файл с дистрибутивом выполнив следующую команду:
unzip /home/orlan/orlan-installer.zip -d /opt/orlan/orlan-installer
Скопируйте пакет orlan-prerequirements на все сервера включая сервер Core выполнив следующую команду.
Выполните следующие действия и команды на каждом сервере Системы:
Выполните установку пакета orlan-prerequirements выполнив следующую команду:
sudo yum install /home/orlan/orlan-prerequirements-1.4-1.x86_64.rpm

Выполните следующие действия и команды на сервере(ах) Opensearch:
Перезапустите сервера.

Выполните следующие действия и команды на сервере Core:
Перейдите в директорию с помощью следующей команды:
cd /opt/orlan/orlan-installer/ansible/
nano ./inventories/db-redos/hosts.yaml
Отредактируйте файл, прописав в нем актуальную информацию об именах серверов Системы, доменов и их IP адресах.
Сохраните изменения в файле и выйдите из него.
Выполните следующие действия и команды на серверах Kafka:
Выполните следующие команды и проверьте на корректность параметр node.id, каждая цифра должна соответствовать своей kafka node:
nano /opt/orlan/database/kafka-data/meta.properties
nano /opt/orlan/kafka_2.13-3.5.1/config/kraft/server.properties

Выполните следующие действия и команды на сервере Core:
Выполните следующую команду для отключения проверки публичного ключа авторизации во время установки:
export ANSIBLE_HOST_KEY_CHECKING=False
Откройте файл RED.yml выполнив следующую команду:
nano /opt/orlan/orlan-installer/ansible/roles/postgres/tasks/RED.yml
Закомментируйте в открытом файле следующие строки:
# - name: Check SSD or HDD
# ansible.builtin.command:
# cmd: "cat /sys/block/sdb/queue/rotational"
# register: check_ssd_hdd
Сохраните изменения в файле и выйдите из него.
Выполните следующую команду для установки Системы:
ansible-playbook orlan.yaml -i inventories/db-redos -vv --vault-id @prompt
Далее добавьте переменную first: false в блоке all: vars: в файле hosts.yaml для дальнейшего корректного обновления Системы выполнив следующую команду:
nano ./inventories/db-redos/hosts.yaml
Запустите какой-либо клиент для работы с БД, например pgAdmin:
Подключитесь к БД на сервере Postgres;
Раскройте структуру БД в следующем порядке:
orlan – schemas – config – functions – product_config_get
Далее измените содержимое, как на скриншоте. Строку 6 необходимо закомментировать, строку 7 раскомментировать:
Установка Системы выполнена.

Конфигурирование SSL для веб-интерфейса
Подготовьте SSL сертификат в одном из форматов: pfx, или p12, или в виде пары «pem (сертификат) + key (закрытый ключ)». Зайдите по SSH на сервер Системы UI и выполните следующие команды:
Для Astra Linux:
Выполните команду readlink -f /usr/bin/java для «расшифровки» стандартной символической ссылки.
Выполните команду setcap CAP_NET_BIND_SERVICE=+eip <вывод команды №1 без скобок> для добавления привилегии (capabilities), для виртуальной машины, чтобы подключаться и слушать порты ниже 1024.
Продолжите выполнение команд с п.3, после описания п.1-2 для RedOS.

Для RedOS:
Выполните команду sysctl net.ipv4.ip_unprivileged_port_start=443 для открытия порта 443.
Выполните команды:
iptables -I INPUT -p tcp --dport 444:1024 -j DROP для закрытия tcp портов с 444 по 1024;
iptables -I INPUT -p udp --dport 444:1024 -j DROP для закрытия udp портов с 444 по 1024.
3) Остановите службу графического интерфейса пользователя:
Для Astra Linux – systemctl stop orlan-ui.service,
для RedOS – systemctl stop orlan-ui.service --user.
4) Назначьте права доступа для пользователя orlan:
sudo chown -R orlan:orlan /usr/lib/jvm
5) Выполните команду cd /opt/orlan/ui.
6) Выполните команду keytool -list -keystore KEYSTORE_PATH для просмотра alias.
В выводе найдите запись:
Your keystore contains 1 entry
{te-webserver-df275aac-1140-41a5-9b5e-717ac0fdc2ff}, Sep 2, 2022, PrivateKeyEntry
Где {te-webserver-df275aac-1140-41a5-9b5e-717ac0fdc2ff} и есть alias, запомните его;
7) Выполните команду ./ssl_patcher.sh -e KEYSTORE_PATH ALIAS KEYSTORE_PASSWORD для добавления сертификата в хранилище ключей.
где KEYSTORE_PATH – путь к сертификату формата;
alias – указывается при создании сертификата, посмотреть alias можно с помощью команды предыдущего пункта.
KEYSTORE_PASSWORD – пароль от сертификата в открытом виде (обязательно), пароль должен состоять из букв латинского алфавита и цифр без спецсимволов.
8) Запустите службу графического интерфейса пользователя: Для Astra Linux – systemctl start orlan-ui.service, для RedOS – systemctl start orlan-ui.service --user.

Установка служб коллекторов для обработки событий с NAS-устройств
На коллекторах Системы, где планируется обработка журналов действий пользователей на NAS-устройствах, необходимо выполнить следующие действия, так как соответствующие коллекторы не установлены по умолчанию (для экономии системных ресурсов):
Зайдите по SSH на соответствующий коллектор;
Для установки коллектора сбора событий с NetApp NAS, выполните команду:
Для Astra Linux – /usr/orlan/collector/install/services/install_fpolicy.sh;
Для RedOS – /opt/orlan/collector/install/services/install_fpolicy.sh;
Для установки коллектора сбора событий с Hitachi Vantara NAS, выполните команду:
Для Astra Linux – /usr/orlan/collector/install/services/install_hitachi.sh;
Для RedOS – /opt/orlan/collector/install/services/install_hitachi.sh;
Для установки коллектора сбора событий с EMC Dell NAS, выполните команду:
Для Astra Linux – /usr/orlan/collector/install/services/install_dell.sh;
Для RedOS – /opt/orlan/collector/install/services/install_dell.sh;
Для установки коллектора сбора событий с Huawei OceanStor Dorado NAS, выполните команду:
Для Astra Linux – /usr/orlan/collector/install/services/install_huawei.sh;
Для RedOS – /opt/orlan/collector/install/services/install_huawei.sh.
После установки коллекторов проверьте статус служб. Выполните следующие команды на соответствующих коллекторах:
На Collector NetApp NAS: Для Astra Linux – systemctl status orlan-fpolicy.service, для RedOS – systemctl status orlan-fpolicy.service --user;
На Collector Hitachi Vantara NAS: Для Astra Linux – systemctl status orlan-hitachi.service, для RedOS – systemctl status orlan-hitachi.service --user;
На Collector EMC Dell NAS: Для Astra Linux – systemctl status orlan-dell.service, для RedOS – systemctl status orlan-dell.service –user;
На Collector Huawei OceanStor Dorado NAS: Для Astra Linux – systemctl status orlan-huawei.service, для RedOS – systemctl status orlan-huawei.service --user
Аналогично выполняются операции для коллекторов с других платформ (Synology и других).

Продолжение настройки
Для продолжения настройки перейдите в веб-интерфейс ПО «Орлан», и сконфигурируйте коллекторы и наблюдаемые (контролируемые) системы, как описано в документе «Руководство Администратора»

Решение проблем при установке
При установке Системы могут возникнуть ошибки. Самые распространённые ошибки и их решение описаны ниже:
Не хватает прав доступа у ТУЗ или у УЗ сотрудника, который выполняет какое-либо действие из описания по установке и настройке раздела 3:
Убедитесь, что требования п.п 1.1.1-1.1.4 соблюдены;
Выполняйте действия раздела 3 с правами root или из-под УЗ c правами на использование sudo;
Для назначения прав sudo пользователю выполните команду sudo usermod -aG sudo «имя УЗ».
Неправильный логин или пароль у ТУЗ:
Убедитесь, что требование п.п 1.1 соблюдено;
Убедитесь в корректности логина и пароля;
При необходимости смените пароль для ТУЗ командой sudo passwd «имя ТУЗ».
Закрыты какие-либо сетевые проходы:
Проверьте межсетевой экран ufw командой ufw status, если он выключен, то переходите к пункту 2, если межсетевой экран включен, то вы увидите список настроенных правил. Скорректируйте правила или выключите межсетевой экран;
Установите пакет telnet на сервер и проверьте доступность между компонентами командой telnet «FQDN или IP-адрес» «проверяемый порт»;
Проверьте правила на МСЭ в инфраструктуре, при отсутствии необходимого правила добавьте его.
Не хватает каких-либо программных компонентов:
Подключите сервер к репозиторию;
Выполните установку пакетов с помощью команды apt install «название пакета».
Служба компонента OpenSearch не заработала после установки Системы. Следующие команды необходимо выполнить при возникновении проблемы только при первичной установке Системы:
Установите корректный hostname на сервере компонента OpenSearch, выполните команду – sudo nano /etc/hosts и измените содержимое.
Выключите службу OpenSearch командой: systemctl stop opensearch.service --user.
Выполните команду – sudo nano /opt/orlan/database/opensearch/config/opensearch.yml.
Далее очистите директорию с данными node (для каждой node выполняем эту команду отдельно) по следующему пути: /opt/orlan/database/opensearch/data/nodes/<порядковый номер ноды>.
Запустите службу OpenSearch командой: systemctl start opensearch.service --user.
Выполните конфигурирование защищенного подключения на каждой node: sudo bash /database/opensearch/plugins/opensearch-security/tools/securityadmin.sh -cacert /database/opensearch/config/root-ca.pem -cert /database/opensearch/config/admin.pem -key /database/opensearch/config/admin.key -f /database/opensearch/config/opensearch-security/internal_users.yml -nhnv -icl --accept-red-cluster -h <имя ноды(hostname)>
Для переустановки (восстановления) кластера Kafka на сервере Core запустите следующую команду из директории /opt/orlan/orlan-installer/ansible:
ansible-navigator run kafka.yaml -i inventories/«имя файла inventories» -vv --vault-id @prompt или ansible-playbook kafka.yaml -i inventories/«имя файла inventories» -vv --vault-id @prompt.
Для переустановки (восстановления) одной ноды OpenSearch на сервере Core выполните следующие действия:
В файле inventories/«имя файла inventories»/hosts.yaml закомментируйте в разделе «Os cluster» рабочие ноды и оставьте описание нерабочей (см. Ошибка! Источник ссылки не найден.);
Выполните следующую команду из директории /opt/orlan/orlan-installer/ansible:
ansible-navigator run orlan-os.yaml -i inventories/«имя файла inventories» -vv --vault-id @prompt или ansible-playbook orlan-os.yaml -i inventories/«имя файла inventories» -vv --vault-id @prompt.
Для добавления оперативной памяти на компонентах Системы выполните следующие действия:
Добавьте на сервера оперативную память;
Зайдите на сервера Opensearch и выполните следующие действия:
Откройте файл jvm.options на редактирование:
nano /opt/orlan/database/opensearch/config/jvm.options
2) Измените в конце файла значения -Xms****m и -Xmx****m на половину от общего кол-ва оперативной памяти в мегабайтах и сохраните изменения.
3) Перезапустите службу opensearch.service:
systemctl restart --user opensearch.service
Зайдите на сервера PostgreSQL и выполните следующие действия:
Запустите скрипт tune.sh после добавления оперативной памяти:
/etc/postgresql/15/tune/tune.sh
Зайдите на сервера Kafka и выполните следующие действия:
Откройте файл kafka-connect.service на редактирование:
nano /home/orlan/.config/systemd/user.control/kafka-connect.service
2) Измените значения -Xms****m и -Xmx****m на половину от общего кол-ва оперативной памяти в мегабайтах и сохраните изменения.
3) Выполните следующие команды для применения изменений:
systemctl disable --user kafka-connect.service
systemctl stop --user kafka-connect.service
systemctl daemon-reload --user
systemctl enable --user kafka-connect.service
systemctl start --user kafka-connect.service
Зайдите на сервера Collector, UI и выполните следующие действия:
Откройте файл orlan-collector.service для Collector, run.sh для UI на редактирование:
nano /home/orlan/.config/systemd/user.control/orlan-collector.service
nano /opt/orlan/ui/run.sh
2) Измените значения -Xmx****m на половину от общего кол-ва оперативной памяти в мегабайтах и сохраните изменения.
3) Выполните следующие команды для применения изменений соответствующие необходимому компоненту:
systemctl disable --user <orlan-collector.service/run.sh>
systemctl stop --user <orlan-collector.service/run.sh>
systemctl daemon-reload --user
systemctl enable --user <orlan-collector.service/run.sh>
systemctl start --user <orlan-collector.service/run.sh>
Другие ошибки, не попавшие под описание понятны из контекста, в ином случае обратитесь в техническую поддержку.

Резервное копирование и восстановление ПО «Орлан»
В данном разделе описаны процедуры резервного копирования компонентов ПО «Орлан» и процессов восстановления из резервных копий.

Выбор стратегии резервного копирования
Наилучшей стратегией резервного копирования и восстановления является создание резервных копий (снапшотов) всех виртуальных машин с ПО «Орлан» средствами платформы виртуализации. Данный подход достаточно самоочевиден, поэтому не рассматривается в данном документе.
Если первый подход по каким-то причинам (организационным или техническим) является неприемлемым, то применяется подход, когда создаются резервные копии отдельных папок и файлов серверов, на которых развернуто ПО «Орлан», отдельных баз данных (или их таблиц), сетевых настроек и т.д. Именно этот подход рассматривается в настоящем документе. Данный документ предназначен для дистрибутивов ПО «Орлан», поставляемых как виртуальный аплаенс (OVA/OVF).
Для успешного восстановления системы, рекомендуется привлекать специалистов поставщика или производителя ПО «Орлан». Если произошла ошибка на любом этапе – обратитесь в техническую поддержку поставщика ПО «Орлан».

Перед выполнением резервного копирования
Наряду с резервными копиями, необходимо собрать и сохранить следующую информацию и/или программное обеспечение:
Дистрибутивы всех компонентов ПО «Орлан», полученные от поставщика, в виде файлов OVA (OVF)
Все патчи (обновления) для всех компонентов (включая патчи для схемы БД), полученные от поставщика совместно с основными дистрибутивами, а также полученные в дальнейшем, до самого момента резервного копирования.
Данные о конфигурации всех хостов, составляющих комплекс технических средств:
- Имя хоста (hostname)
- IP-адрес, и другие сетевые настройки (DNS и т.д.)
- Аппаратную конфигурацию дисков
- Размеры всех томов (с точностью до сектора), и их точки монтирования
- Аппаратное обеспечение (число ядер CPU, объем памяти RAM)
Данные о платформе виртуализации, и кастомные настройки виртуальных машин
Данные обо всех технологических учётных записях (логины, пароли) и криптоключах, используемых как для взаимодействия между компонентами ПО «Орлан», так и для работы с инфраструктурой
Данные обо всех кастомных (нестандартных) настройках компонентов, портов и протоколов
Данные о пути и имени репозитория снапшотов и имени снапшота OpenSearch
Данные обо всех расширениях СУБД, как встроенных, так и установленных позднее
Все сертификаты безопасности, используемые как для работы web-интерфейса, так и для защищенного взаимодействия между компонентами ПО «Орлан».

Выполнение резервного копирования
ПО «Орлан» не содержит встроенных средств резервного копирования. Заказчик должен самостоятельно обеспечить резервное копирование компонентов и баз данных, перечисленных ниже.

Резервное копирование серверов приложений
Необходимо обеспечить резервное копирование следующих папок и файлов:
На сервере с ролью Орлан Core:
/usr/lib/jvm/bellsoft-java17-amd64/lib/security/cacerts
/opt/orlan/config/config.json

На сервере с ролью Орлан UI:
/opt/orlan/ui/application.properties
/usr/lib/jvm/bellsoft-java17-amd64/lib/security/cacerts

На всех серверах с ролью Орлан Collector:
/usr/lib/jvm/bellsoft-java17-amd64/lib/security/cacerts
/opt/orlan/collector/config.json

На всех серверах кластера шины данных Kafka:
/usr/lib/jvm/bellsoft-java17-amd64/lib/security/cacerts
/opt/kafka_2.13-3.5.1/config/* (все файлы из данной папки)

На всех серверах кластера хранилища OpenSearch:
/opt/orlan/database/opensearch/config/* (все файлы из данной папки)
Резервное копирование самой базы данных OpenSearch описано в соответствующем разделе.

На сервере Postgres:
Нет файлов для резервного копирования. Резервное копирование самой базы данных Postgres описано в соответствующем разделе.

Резервное копирование СУБД Postgres
Для резервного копирования СУБД Postgres, можно использовать любое стороннее средство, или кастомный скрипт, который будет выполнять резервное копирование базы «orlan», в которой хранятся данные ПО «Орлан». Ниже приведен пример команды pg_dump, которая может использоваться для резервного копирования, при отсутствия других средств.
Подключитесь к серверу Postgres по SSH под пользователем orlan, и запустите консоль Postgres командой psql.
Затем, из консоли psql, дайте команду:
pg_dump <опции> orlan
где orlan - имя базы для создания резервной копии.

Резервное копирование СУБД OpenSearch
Для резервного копирования БД OpenSearch необходимо один раз создать файловое хранилище (репозиторий) для снапшотов. Отредактируйте на всех узлах кластера конфигурационный файл /opt/orlan/database/opensearch/config/opensearch.yml и добавьте в него настройку:
path.repo: ["/mnt/snapshots"] (укажите актуальный путь к папке, где будут хранится резервные копии), после чего перезапустите OpenSearch командой
systemctl restart opensearch.service --user

Восстановление из резервных копий
В данном разделе описан процесс восстановления. Восстанавливать нужно только те компоненты, которые стали по той или иной причине недоступными.

Восстановление серверов
Пользуясь Руководством Администратора, восстановите сервера приложений, а также сервера СУБД Postgres и OpenSearch из дистрибутивов OVA/OVF, таким же образом, как при первоначальной настройке, с учётом следующих особенностей:
Желательно восстанавливать на ту же версию VMWare (или ProxMox/KVM), что была раньше, с теми же кастомными настройками ВМ
Аппаратные ресурсы (процессор, память) восстанавливаемых машин должны быть идентичны тем, что были ранее.
Дисковая конфигурация (имена всех дисков и разделов, их размеры, точки монтирования) должна быть приведена к тому же состоянию, что было ранее
Сетевые настройки (роли машин, имена хостов, IP-адреса) должны быть идентичны тем, что были ранее
Оставьте все логины, пароли и криптоключи в начальном (заводском) состоянии
Зайдите в веб-интерфейс ПО, и донастройте компоненты, для приведения ПО в работоспособное состояние, не изменяя параметров безопасности, и не подключая контролируемую инфраструктуру. База данных при этом пуста (точнее, хранит заводские настройки).

Восстановление СУБД Postgres
При использовании сторонних средств резервного копирования и восстановления, используйте документацию к стороннему средству. Далее приведен пример использования команды pg_restore, если производилось резервное копирование командой pg_dump.

Восстановление СУБД OpenSearch
Для восстановления СУБД OpenSearch, после развертывания из OVA/OVF, необходимо создать и настроить хранилище резервных копий, с тем же именем и путём, что и при резервном копировании, тем же способом, как описано в разделе «Резервное копирование СУБД OpenSearch».
Скопируйте резервную копию базы из резервного хранилища обратно по тому пути, который указан в конфигурационном файле.

Заключительные операции
После восстановления, необходимо проверить, что ПО «Орлан» функционирует, нет ошибок в разделе веб-интерфейса «Мониторинг», что события собираются, сохраняются и отображаются, а сканирования выполняются.

Резервное копирование и восстановление настроек ПО «Орлан»
В ПО «Орлан» предусмотрена возможность выполнить отдельно резервное копирование и восстановление настроек самого приложения. Ограничение: восстановление настроек возможно только на ту же версию ПО «Орлан», откуда были сохранены настройки. Данная операция должна использоваться только при серьезных ошибках в администрировании ПО «Орлан».

Сохранение настроек приложения
Зайдите на сервер Core (главный сервер) по SSH.
Перейдите в каталог /opt/orlan/core командой:
cd /opt/orlan/core
Из-под пользователя orlan запустите консольную утилиту, config_backup.sh, с одним параметром в командной строке: имя создаваемого файла с резервной копией настроек.

Восстановление настроек приложения
Перед восстановлением настроек рекомендуется сделать полную резервную копию СУБД Postgres.
Зайдите на сервер Core (главный сервер) по SSH.
Перейдите в каталог /opt/orlan/core командой:
cd /opt/orlan/core
Из-под пользователя orlan запустите консольную утилиту config_restore.sh, с одним параметром в командной строке: имя ранее созданного файла с резервной копией настроек приложения. Файл должен находиться в этой же папке.
После получения подтверждения скрипт приступит к восстановлению настроек ПО «Орлан».
В случае успешного восстановления настроек на экране появится сообщение вида:
"ИНФО: Настройки сброшены на состояние" + дата и время бэкапа.
В случае проблем, обратитесь в службу технической поддержки поставщика ПО «Орлан».

Обновление ПО «Орлан»
В данном разделе описана процедура обновления ПО «Орлан», функционирующего на платформах Astra Linux и RedOS.

Обновление ПО «Орлан», установленного на Astra Linux
Для обновления Системы на ОС Astra Linux выполните следующие действия:
Скопируйте полученные deb-пакеты на сервера Системы с соответствующими ролями (см. описание п.п 1.2) в папку /home/orlan;
На сервере с ролью UI, выполните следующие команды:
sudo systemctl stop orlan-ui.service
sudo dpkg -i orlan-ui.deb
Не запускайте обратно службу orlan-ui.service
4) На сервере с ролью Core, выполните следующие команды:
sudo systemctl stop orlan-task.service
sudo dpkg -i orlan-core.deb
Не запускайте обратно службу orlan-task.service.
5) На сервере с ролью Core, выполните следующие команды:
sudo bash update_orlan.sh "jdbc:postgresql://IP-адрес:5432/orlan?user=postgres&password=*****"
где IP-адрес - адрес СУБД Postgres, а вместо ***** укажите реальный пароль для СУБД Postgres. Спецсимволы должны быть представлены в виде процентов (Percent-encoded, RFC 3986).
Дождитесь успешного окончания выполнения команды.
7) На сервере с ролью UI выполните следующие команды:
sudo systemctl start orlan-ui.service
sudo systemctl status orlan-ui.service
Проверьте, что служба успешно стартовала.
8) На сервере с ролью Core выполните следующие команды:
sudo systemctl start orlan-task.service
sudo systemctl status orlan-task.service
Проверьте, что служба успешно стартовала
9) На каждом из коллекторов, выполните следующие команды:
sudo systemctl stop orlan-collector.service
sudo dpkg -i orlan-collector.deb
sudo systemctl start orlan-collector.service
sudo systemctl status orlan-collector.service
Проверьте, что служба успешно запустилась. Если используются дополнительные коллекторы для сбора событий с NAS (NetApp, Hitachi, EMC, Huawei), то обновите их аналогично.
10) Проверьте в web-интерфейсе Системы, что события поступают, и в разделе «Мониторинг» нет ошибок.

Обновление ПО «Орлан», установленного на RedOS
Для обновления Системы на ОС RedOS выполните следующие действия:
Полученный архив orlan-installer.zip скопировать по пути /opt/orlan/;
Перейти в каталог /opt/orlan/;
Выполнить команду unzip -d /opt/orlan/orlan-installer/ orlan-installer.zip;
Перейдите в каталог командой – cd /opt/orlan/orlan-installer/ansible;
Запустите обновление командой (выбрать одну из):
ansible-navigator run orlan-update.yaml -i inventories/«имя файла inventories» -vv --vault-id @prompt
или
ansible-playbook orlan-update.yaml -i inventories/«имя файла inventories» -vv --vault-id @prompt.
4) На сервере с ролью UI, выполните следующие команды:
systemctl status orlan-ui.service --user
Проверьте, что служба успешно стартовала.
5) На сервере с ролью Core, выполните следующие команды:
systemctl status orlan-task.service --user
Проверьте, что служба успешно стартовала.
6) На каждом из коллекторов, выполните следующие команды:
systemctl status orlan-collector.service --user
Проверьте, что служба успешно запустилась. Если используются дополнительные коллекторы для сбора событий с NAS (NetApp, Hitachi, EMC, Huawei), то обновите их аналогично.
Проверьте доступность web-интерфейса Системы по 443 и 8080 портам, если не работает выполнить действия из пункта 1.6 Конфигурирование SSL для веб-интерфейса.
Проверьте в web-интерфейсе Системы, что события поступают, и в разделе «Мониторинг» нет ошибок.

Обновление Агентов ПО «Орлан»
Для обновления Агентов ПО «Орлан», установленных на файловых серверах Windows, на серверах Exchange, на серверах SharePoint, на концентраторах логов WEC – запустите единый Агент из новой версии дистрибутива, выбрав соответствующую опцию.
Для обновления Агентов на файловых серверах Linux Samba – используйте раздел, где описана установка, в данном документе.


Решение основных проблем при эксплуатации
Переполнение журналов на серверах:
Настройте ротацию текстовых логов.

Ротация журналов journalctl
Настройте ротацию Journalctl

Ошибка проверки соединения с коллектором
Проверьте, не сбились ли права на файл:
sudo ls -la /usr/orlan/