Support

Support für Unternehmensanwendungen

Kaspersky Web Traffic Security 6.x

Programmereignissen in einem SIEM-System ausgeben

Export von Ereignissen im CEF-Format konfigurieren

Kaspersky Web Traffic Security 6.x
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Systemvoraussetzungen Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung Produktvideos

Export von Ereignissen im CEF-Format konfigurieren

13. Dezember 2023

ID 267198

Bevor Sie den Export von Ereignissen im CEF-Format aktivieren, müssen Sie das Update-Paket siem_logging_fixes.zip auf jedem Cluster-Knoten von Kaspersky Web Traffic Security installieren. Das Update-Paket ist auf Anfrage beim Technischen Support erhältlich.

Um den Export von Ereignissen im Technical Support Mode zu aktivieren, müssen Sie zunächst den öffentlichen SSH-Schlüssel in der Weboberfläche des Programms hochladen und die Ausgabe von Programmereignissen in ein SIEM-System konfigurieren.

Führen Sie die folgenden Anweisungen für jeden Cluster-Knoten aus, von dem Sie die Ereignisse im CEF-Format exportieren möchten.

So konfigurieren Sie den Export von Ereignissen im CEF-Format:

  1. Wenn Kaspersky Web Traffic Security aus einer ISO-Datei installiert wurde, stellen Sie mittels privaten SSH-Schlüssel und unter dem root-Benutzerkonto eine Verbindung zur Verwaltungskonsole der virtuellen Maschine mit Kaspersky Web Traffic Security her. Sie gelangen in den Technical Support Mode.

    Wenn Kaspersky Web Traffic Security aus einem RPM- oder Deb-Paket installiert wurde, starten Sie die Befehls-Shell des Betriebssystems, um darin als Superuser (Systemadministrator) Befehle auszuführen.

  2. Wechseln Sie in das Verzeichnis "/opt/kaspersky/kwts/share/templates/core_settings" und erstellen Sie mit dem folgenden Befehl eine Sicherungskopie der Datei "event_logger.json.template":

    cp -p event_logger.json.template event_logger.json.template.backup

  3. Öffnen Sie die Datei "event_logger.json.template" zum Bearbeiten und geben Sie unter Beachtung von Syntax und Struktur der JSON-Datei die folgenden Parameterwerte im Abschnitt siemSettings an:

    "enabled": true,

    "facility": "Local5",

    "logLevel": "Info",

  4. Ändern Sie in der Weboberfläche des Programms im AbschnittEinstellungen →Protokolle und Ereignisse den Wert eines beliebigen Parameters und klicken Sie auf die Schaltfläche Speichern.

    Dies ist erforderlich, um die Einstellungen zwischen den Cluster-Knoten zu synchronisieren und die an der Konfigurationsdatei vorgenommene Änderungen zu übernehmen. Anschließend können Sie den geänderten Parameter auf seinen ursprünglichen Wert zurücksetzen.

  5. Überprüfen Sie mit dem folgenden Befehl, ob die Änderungen übernommen wurden:

    /opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings

    Die Ausgabe sollte die Schritt 3 angegebenen Parameter mit ihren Werten enthalten.

Der Export von Ereignissen im CEF-Format ist konfiguriert.

Wenn Sie den Export von Ereignissen im CEF-Format deaktivieren möchten, befolgen Sie die oben genannten Schritte und geben Sie in Schritt 3 den Parameter "enabled": false an.

Kaspersky Endpoint Security for Business Advanced:
Adaptive Sicherheit für Ihr Unternehmen
Web- und Gerätekontrolle. Datenverschlüsselung. Simples und benutzerfreundliches Sicherheitsmanagement über eine Konsole.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.