Ausgabe von von Programmereignissen in einem SIEM-System konfigurieren
13. Dezember 2023
ID 267199
Um das Ausgeben von Programmereignissen im Technical Support Mode zu konfigurieren, müssen Sie zunächst den öffentlichen SSH-Schlüssel in der Weboberfläche des Programms hochladen.
Befolgen Sie die nachstehenden Anweisungen für jeden Cluster-Knoten, von dem Sie die Ereignisse in einem SIEM-System ausgeben möchten. Das Aktivieren des Ereignisexports im CEF-Format sollte erst nach dem Einrichten der Ereignisausgabe stattfinden.
So konfigurieren Sie die Ausgabe von Programmereignissen in ein SIEM-System:
- Wenn Kaspersky Web Traffic Security aus einer ISO-Datei installiert wurde, stellen Sie mittels privaten SSH-Schlüssel und unter dem root-Benutzerkonto eine Verbindung zur Verwaltungskonsole der virtuellen Maschine mit Kaspersky Web Traffic Security her. Sie gelangen in den Technical Support Mode.
Wenn Kaspersky Web Traffic Security aus einem RPM- oder Deb-Paket installiert wurde, starten Sie die Befehls-Shell des Betriebssystems, um darin als Superuser (Systemadministrator) Befehle auszuführen.
- Die Ereignisse werden mithilfe des "rsyslog"-Dienstes zur Systemprotokollierung an ein externes SIEM-System gesendet. Überprüfen Sie mit dem folgenden Befehl, ob der Dienst installiert ist und ausgeführt wird:
systemctl status rsyslog
Der Status des Dienstes sollte
running
anzeigen.Wenn der "rsyslog'-Dienst nicht ausgeführt wird oder fehlt, installieren und aktivieren Sie diesen Dienst gemäß der Dokumentation Ihres Betriebssystems.
- Geben Sie die Adresse und den Port für die Verbindung zum Server mit dem SIEM-System an. Erstellen Sie dazu die Datei "/etc/rsyslog.d/kwts-cef-messages.conf" und fügen Sie ihr die folgenden Zeilen hinzu:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @@<IP-Adresse des SIEM-Systems>:<TCP-Port, auf dem das SIEM-System Syslog-Nachrichten empfängt>
local5.* stop
Beispiel:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @@10.16.32.64:514
local5.* stop
- Starten Sie den Dienst "rsyslog" neu. Führen Sie dazu den folgenden Befehl aus:
systemctl restart rsyslog
- Überprüfen Sie den Status des "rsyslog"-Dienstes mit dem folgenden Befehl:
systemctl status rsyslog
Der Status sollte
running
anzeigen. - Senden Sie mit dem folgenden Befehl eine Testnachricht an das SIEM-System:
logger -p local5.info Test message
Die Ausgabe von Programmereignissen in das SIEM-System ist konfiguriert.