В этом разделе описывается порядок проверки правильности интеграции Kaspersky CyberTrace с LogRhythm путем выполнения проверки работоспособности.
Чтобы создать условия для проведения проверки работоспособности:
Поле |
Данные |
Имя |
Kaspersky LogScanner |
Full Name |
Kaspersky LogScanner |
Abbreviation |
LogScanner |
Log Format |
Syslog |
Brief Description |
Kaspersky LogScanner is a command-line application that allows you to send data to Kaspersky CyberTrace Service for checking against feeds. |
Поле |
Данные |
Имя |
LogScanner_event |
Classification |
Audit : Other Audit |
Brief Description |
LogScanner event for verification purposes |
Risk Rating |
Low-Low |
Окно Common Event Properties
LogScanner_event
в качестве имени правила (Rule Name)..*
».Форма конструктора правил
В списке Log Source Type выберите Kaspersky LogScanner. Задайте все остальные параметры, как описано в разделе Шаг 5. Добавление политики Kaspersky CyberTrace.
514
.%service_dir%/verification/kl_verification_test_cef.txt
в LogRhythm../log_scanner -p ../verification/kl_verification_test_cef.txt
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
После того, как Kaspersky Log Scanner отправит событие, на вкладке Log Sources появится новый элемент.
Чтобы принять новый источник журнала, выполните следующие действия:
Откроется окно Log Source Acceptance Properties.
Окно Log Source Acceptance Properties
Kaspersky LogScanner
в качестве типа источника журналов.Имя объекта должно быть уникальным и не может быть пустым. Остальные свойства объекта могут быть произвольными.
Контекстное меню источника журналов
Новый источник журналов добавляется в нижнюю таблицу LogRhythm Console.
Новый источник журналов
Если ранее была настроена пересылка журналов, как описано в разделе Шаг 7. Настройка пересылки журналов в Kaspersky CyberTrace, убедитесь, что Kaspersky LogScanner выбран в качестве источника журналов (Log Source) (см. подраздел «Добавление политики рассылки журналов»).
Чтобы выполнить проверку работоспособности, выполните следующие действия:
Повторно отправьте файл %service_dir%/verification/kl_verification_test_cef.txt
в LogRhythm.
./log_scanner -p ../verification/kl_verification_test_cef.txt
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
Если интеграция Kaspersky CyberTrace с LogRhythm настроена правильно, тестовые события из Log Scanner будут автоматически пересылаться в Kaspersky CyberTrace. После этого оповещения о событии из Kaspersky CyberTrace будут отправляться в LogRhythm. Количество информационных сообщений может варьироваться в зависимости от включенных потоков данных об угрозах Kaspersky Threat Data Feeds. Оповещения о событиях могут отображаться в веб-консоли LogRhythm, как описано в разделе Шаг 10 (необязательный). Отображение оповещений о событиях в LogRhythm. Также можно проверить интеграцию с LogRhythm, создав очередь отображения исходных событий в реальном времени на вкладке Tail консоли LogRhythm.
В начало