Шаг 9 (необязательный). Создание информационных сообщений о входящих сервисных событиях Kaspersky CyberTrace
Для создания уведомлений о входящих сервисных событиях Kaspersky CyberTrace можно настроить правила информационных сообщений.
Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в LogRhythm, выполните следующие действия:
Запустите LogRhythm Console.
Выберите Deployment Manager > Alarm Rules и нажмите New.
В окне подтверждения Create Global Rule нажмите кнопку Yes, если требуется предоставить доступ к работе с этим правилом всем пользователям, у которых есть роль Global Admin. Нажмите No, если с этим правилом должен работать только текущий пользователь.
Выполните следующие действия на каждой вкладке внизу страницы:
На вкладке Primary Criteria выполните следующие действия:
Нажмите кнопку New и выберите значение Common Event в раскрывающемся списке Add New Field Filter.
Нажмите на кнопку Edit values.
Откроется окно Field Filter Values.
В окне Field Filter Values нажмите на кнопку Add Item.
Выберите имя сервисного события Kaspersky CyberTrace из списка. Если такие события отсутствуют, добавьте их, как описано в разделе Добавление событий Kaspersky CyberTrace.
Нажмите на кнопку OK.
Оставьте вкладки Include Filters, Exclude Filters и Day and Time Criteria без изменений.
На вкладке Log Source Criteria установите флажок Include the Selected Log Sources, затем нажмите на кнопку Add.
Окно Alarm Rule window
Выберите источник, соответствующий Kaspersky CyberTrace, и нажмите на кнопку OK. Информацию о добавлении источника событий Kaspersky CyberTrace см. в разделе Добавление источника журналов в System Monitor Agent.
Окно Log Source Criteria Add
Вкладку Aggregation оставьте без изменений.
На вкладке Settings укажите период времени, в течение которого должны подавляться идентичные информационные сообщения, связанные с возникновением каких-либо новых сервисных событий Kaspersky CyberTrace.
Параметры подавления информационных сообщений
На вкладке Notify выберите роль или пользователя, которым должны быть адресованы уведомления.
Выбор ролей для уведомления
Вкладку Actions оставьте без изменений.
На вкладке Information укажите имя правила и его описание.
Alarm Rule Name/Brief Description
Нажмите на кнопку OK.
На вкладке Alarm Rules щелкните по новому правилу правой кнопкой мыши и выберите Actions > Enable.