Configurar la exportación de eventos en formato CEF
26 de abril de 2024
ID 151533
Para activar la exportación de eventos en el modo de soporte técnico, primero debe cargar la clave SSH pública en la interfaz web de la aplicación.
Puede guardar los archivos que contienen eventos exportados a nivel local en el servidor y configurar su publicación en un sistema SIEM externo. Si no necesita guardar los archivos a nivel local, puede omitir los pasos 4 a 7 de las instrucciones de esta sección.
Siga las instrucciones a continuación en cada nodo de clúster cuyos eventos desee exportar en formato CEF.
Para configurar la exportación de eventos en formato CEF, realice lo siguiente:
- Conéctese a la consola de administración de la máquina virtual de Kaspersky Secure Mail Gateway en la cuenta raíz utilizando una clave SSH privada.
Entrará en modo de soporte técnico.
- Realice los siguientes cambios en el archivo de configuración de exportación de eventos /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
- Si desea seleccionar la categoría (facility) de syslog a la que se exportarán los eventos, especifique uno de los siguientes valores para el parámetro
facility
en la secciónsiemSettings
:Auth
Authpriv
Cron
Daemon
Ftp
Lpr
Mail
News
Syslog
User
Uucp
Local0
Local1
Local2
Local3
Local4
Local5
Local6
Local7
Se recomienda especificar una categoría (facility) para syslog que otros programas en el servidor no utilicen.
El valor predeterminado es
local2
. - Establezca el valor del parámetro
enabled
entrue
. - Defina el nivel de detalle de la exportación estableciendo uno de los siguientes valores para el parámetro
logLevel
:Error
: exportar eventos relacionados con errores.Info
: exportar todos los eventos.Ejemplo:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
}
- Si desea seleccionar la categoría (facility) de syslog a la que se exportarán los eventos, especifique uno de los siguientes valores para el parámetro
- En el archivo /etc/rsyslog.conf, cambie la cadena
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
a
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<instalación seleccionada en el paso 2>.none /var/log/messages
- Añada las cadena siguiente al archivo /etc/rsyslog.conf:
<instalación seleccionada en el paso 2>. * - / var / log / ksmg-cef-messages
- Cree el archivo /var/log/ksmg-cef-messages y configure sus derechos de acceso. Para hacerlo, ejecute los comandos:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Configure las reglas para rotar los archivos que contienen eventos exportados. Para hacerlo, añada las cadenas siguientes al archivo /etc/logrotate.d/ksmg-syslog:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Reinicie el servicio rsyslog. Para hacerlo, ejecute el comando siguiente:
service rsyslog restart
- En la interfaz web de la aplicación, en la sección Configuración → Registros y eventos → Eventos, modifique el valor de cualquier configuración y haga clic en Guardar.
Esto es necesario para la sincronización de los parámetros entre los nodos de clúster y para aplicar los cambios que se realizaron en el archivo de configuración. A continuación, puede restaurar el valor original de un parámetro modificado.
Ya se configuró la exportación de eventos en formato CEF.