Export von Ereignissen im CEF-Format konfigurieren
13. Dezember 2023
ID 267198
Bevor Sie den Export von Ereignissen im CEF-Format aktivieren, müssen Sie das Update-Paket siem_logging_fixes.zip auf jedem Cluster-Knoten von Kaspersky Web Traffic Security installieren. Das Update-Paket ist auf Anfrage beim Technischen Support erhältlich.
Um den Export von Ereignissen im Technical Support Mode zu aktivieren, müssen Sie zunächst den öffentlichen SSH-Schlüssel in der Weboberfläche des Programms hochladen und die Ausgabe von Programmereignissen in ein SIEM-System konfigurieren.
Führen Sie die folgenden Anweisungen für jeden Cluster-Knoten aus, von dem Sie die Ereignisse im CEF-Format exportieren möchten.
So konfigurieren Sie den Export von Ereignissen im CEF-Format:
- Wenn Kaspersky Web Traffic Security aus einer ISO-Datei installiert wurde, stellen Sie mittels privaten SSH-Schlüssel und unter dem root-Benutzerkonto eine Verbindung zur Verwaltungskonsole der virtuellen Maschine mit Kaspersky Web Traffic Security her. Sie gelangen in den Technical Support Mode.
Wenn Kaspersky Web Traffic Security aus einem RPM- oder Deb-Paket installiert wurde, starten Sie die Befehls-Shell des Betriebssystems, um darin als Superuser (Systemadministrator) Befehle auszuführen.
- Wechseln Sie in das Verzeichnis "/opt/kaspersky/kwts/share/templates/core_settings" und erstellen Sie mit dem folgenden Befehl eine Sicherungskopie der Datei "event_logger.json.template":
cp -p event_logger.json.template event_logger.json.template.backup
- Öffnen Sie die Datei "event_logger.json.template" zum Bearbeiten und geben Sie unter Beachtung von Syntax und Struktur der JSON-Datei die folgenden Parameterwerte im Abschnitt
siemSettings
an:"enabled": true,
"facility": "Local5",
"logLevel": "Info",
- Ändern Sie in der Weboberfläche des Programms im AbschnittEinstellungen →Protokolle und Ereignisse den Wert eines beliebigen Parameters und klicken Sie auf die Schaltfläche Speichern.
Dies ist erforderlich, um die Einstellungen zwischen den Cluster-Knoten zu synchronisieren und die an der Konfigurationsdatei vorgenommene Änderungen zu übernehmen. Anschließend können Sie den geänderten Parameter auf seinen ursprünglichen Wert zurücksetzen.
- Überprüfen Sie mit dem folgenden Befehl, ob die Änderungen übernommen wurden:
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
Die Ausgabe sollte die Schritt 3 angegebenen Parameter mit ihren Werten enthalten.
Der Export von Ereignissen im CEF-Format ist konfiguriert.
Wenn Sie den Export von Ereignissen im CEF-Format deaktivieren möchten, befolgen Sie die oben genannten Schritte und geben Sie in Schritt 3 den Parameter "enabled": false
an.