В этом разделе рассматривается порядок настройки LogRhythm для пересылки журналов в Kaspersky CyberTrace. Настройка LogRhythm включает добавление приемника журналов и добавление политики рассылки журналов.
Добавление приемника журналов
Создайте новый приемник журналов в LogRhythm. Этот приемник журналов будет представлять Kaspersky CyberTrace.
Чтобы добавить приемник журналов в LogRhythm, выполните следующие действия:
Откроется окно Log Distribution Receiver Manager.
InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service).InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service).Добавление политики рассылки журналов
После добавления приемника журналов задайте условия путем добавления политики рассылки журналов для событий, которые будут пересылаться в Kaspersky CyberTrace.
Чтобы добавить политику рассылки журналов, выполните следующие действия:
Запустится мастер Log Distribution Policy Wizard. Пройдите следующие шаги мастера, нажимая на кнопку Next.
Окно Select Log Sources
Убедитесь, что Kaspersky CyberTrace не выбран в качестве источника журналов для пересылки, поскольку это привело бы к зацикливанию событий. По той же причине не следует выбирать All available Log Sources на предыдущем шаге.
Дополнительные сведения об определении этих фильтров приведены в документации LogRhythm.
Рекомендуется не указывать эти фильтры.
Нажмите на кнопку Yes.
Подтверждение пересылки всех журналов без применения фильтров
Kaspersky CyberTrace
. Окно Select Distribution Receivers
Окно Define Syslog Sender Override Settings
Окно Additional Information
Щелкните правой кнопкой мыши по новой строке в таблице и выберите пункт контекстного меню Enabled.
Сервер, на котором установлено приложение Kaspersky CyberTrace, начнет получать журналы. Это можно проверить с помощью утилиты netcat.
Отображение событий обнаруженных киберугроз в LogRhythm
В результате вышеуказанных действий LogRhythm начнет получать и отображать события обнаруженных киберугроз. События также будут отображаться в веб-консоли, доступной по адресу https://<logrhythmIP>:8443
или https://<logrhythmIP>:80
.