Configurar la publicación de eventos de la aplicación en un sistema SIEM
13 de diciembre de 2023
ID 267199
Para configurar la publicación de eventos en el modo de soporte técnico, primero tiene que cargar la clave pública SSH en la interfaz web de la aplicación.
Siga los pasos a continuación en cada nodo del clúster desde el que desee publicar eventos en el sistema SIEM. Solo debería activar la exportación de eventos en formato CEF después de configurar la publicación de eventos.
Para configurar la publicación de eventos de la aplicación en un sistema SIEM:
- Si Kaspersky Web Traffic Security se ha instalado desde un archivo ISO, conéctese a la consola de administración de la máquina virtual de Kaspersky Web Traffic Security en la cuenta raíz con la clave privada SSH. Así accederá al modo de soporte técnico.
Si Kaspersky Web Traffic Security se ha instalado desde un paquete RPM o DEB, inicie el shell de comandos del sistema operativo para ejecutar comandos con permisos de superusuario (administrador del sistema).
- Los eventos se envían a un sistema SIEM externo mediante el servicio de registro del sistema rsyslog. Para asegurarse de que el servicio esté instalado y en ejecución, ejecute el comando siguiente:
systemctl status rsyslog
El estado del servicio debe ser
running
.Si el servicio rsyslog no se está ejecutando o no está instalado, instale y active el servicio según la documentación de su sistema operativo.
- Especifique la dirección y el puerto para conectarse al servidor con el sistema SIEM. Para ello, cree el archivo /etc/rsyslog.d/kwts-cef-messages.conf y añádale las líneas siguientes:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.*@@<dirección IP del sistema SIEM>:<puerto en el que el sistema SIEM recibe mensajes de Syslog a través del protocolo TCP>
local5.* stop
Ejemplo:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @@10.16.32.64:514
local5.* stop
- Reiniciar el servicio rsyslog. Para hacerlo, ejecute el comando:
systemctl restart rsyslog
- Verifique el estado del servicio rsyslog con el comando siguiente:
systemctl status rsyslog
El estado debe ser
running
. - Envíe un mensaje de prueba al sistema SIEM:
logger -p local5.info Test message
La publicación de eventos de la aplicación en el sistema SIEM está configurada.