Konfigurace publikování událostí aplikace do systému SIEM
26. dubna 2024
ID 218660
Chcete-li nakonfigurovat publikování událostí v režimu technické podpory, musíte nejprve do webového rozhraní aplikace nahrát veřejný klíč SSH.
Před zahájením konfigurace se ujistěte, že máte povolen export událostí ve formátu CEF.
U každého uzlu clusteru, jehož události chcete exportovat do systému SIEM, proveďte níže uvedené pokyny.
Postup konfigurace publikování událostí aplikace do systému SIEM:
- Připojte se ke konzole pro správu virtuálního počítače Kaspersky Secure Mail Gateway pod účtem root pomocí soukromého klíče SSH.
Vstoupíte do režimu technické podpory.
- Zadejte adresu a port pro připojení k serveru hostujícímu systém SIEM. Chcete-li tak učinit, přidejte na konec souboru /etc/rsyslog.conf následující řádky:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<kategorie (facility)>.* @@<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes TCP>
Před provedením jakýchkoli změn v souboru /etc/rsyslog.conf se doporučuje vytvořit záložní kopii. Chyba při úpravě souboru může způsobit nesprávné fungování systému.
- Restartujte službu rsyslog. To provedete následujícím příkazem:
service rsyslog restart
Je nakonfigurováno publikování událostí aplikace do systému SIEM.