Support

Solutions pour les entreprises

Kaspersky Web Traffic Security 6.x

Publication des événements de l'application dans le système SIEM

Configuration de l'export d'événements au format CEF

Kaspersky Web Traffic Security 6.x
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Configuration requise Télécharger Forum Contacter le support Outils de désinfection Tutoriels vidéos

Configuration de l'export d'événements au format CEF

13 décembre 2023

ID 267198

Avant d'activer l'exportation des événements au format CEF, vous devez installer le paquet de mise à jour siem_logging_fixes.zip sur chaque nœud du cluster Kaspersky Web Traffic Security. Le paquet de mise à jour est disponible sur demande auprès du service d'assistance technique.

Pour activer l'exportation des événements en mode Support Technique, vous devez d'abord télécharger la clé publique SSH dans l'interface Web de l'application et configurer la publication des événements de l'application dans le système SIEM.

Suivez les instructions ci-dessous sur chaque nœud de cluster à partir duquel vous souhaitez exporter les événements au format CEF.

Pour configurer l'exportation des événements au format CEF :

  1. Si Kaspersky Web Traffic Security a été installé à partir d'un fichier ISO, connectez-vous à la console d'administration de la machine virtuelle Kaspersky Web Traffic Security sous le compte root à l'aide de la clé privée SSH. Vous entrerez en mode Support Technique.

    Si Kaspersky Web Traffic Security a été installé à partir d'un paquet rpm ou deb, lancez le shell de commande du système d'exploitation pour exécuter les commandes avec les privilèges de superutilisateur (administrateur système).

  2. Accédez au répertoire /opt/kaspersky/kwts/share/templates/core_settings et créez une copie de sauvegarde du fichier event_logger.json.template à l'aide de la commande :

    cp -p event_logger.json.template event_logger.json.template.backup

  3. Ouvrez le fichier event_logger.json.template pour le modifier et, en respectant la syntaxe et la structure du fichier JSON, spécifiez les valeurs de paramètres suivantes dans la section siemSettings :

    "enabled": true,

    "facility": "Local5",

    "logLevel": "Info",

  4. Dans l'interface web de l'application dans la section ParamètresJournaux et événements, modifiez la valeur de n'importe quel paramètre et cliquez sur le bouton Enregistrer.

    Ceci est nécessaire pour synchroniser les paramètres entre les nœuds du cluster et appliquer les modifications apportées au fichier de configuration. Vous pouvez ensuite renvoyer la valeur originale du paramètre modifié.

  5. Vérifiez que les modifications ont été appliquées à l'aide de la commande :

    /opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings

    La réponse doit contenir des paramètres avec les valeurs spécifiées à l'étape 3.

L'exportation des événements au format CEF sera configurée.

Si vous souhaitez désactiver l'exportation des événements au format CEF, suivez les étapes ci-dessus et à l'étape 3 définissez la valeur du paramètre "enabled": false .

Kaspersky Endpoint Security for Business Advanced : sécurité adaptative qui détecte les menaces les plus sophistiquées
Contrôle des terminaux avancé. Contrôle adaptatif des anomalies. Chiffrement de données. Geston flexible via une console centralisée.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.