标记要以 Syslog 格式导出的 Kaspersky 应用程序事件
如果要导出受管理设备上安装的个别受管理应用程序中发生的事件,则标记要为应用程序导出的事件。如果先前导出的事件已在策略中标记,您将不能为此策略管理的个别应用程序重新定义所标记的事件。
要为个别受管理应用程序标记要导出的事件:
- 在 Kaspersky Security Center 控制台树,选择“受管理设备”节点并转到“设备”选项卡。
- 右键单击以打开相关设备的上下文菜单并选择“属性”。
- 在打开的“设备属性”窗口中,选择“应用程序”区域。
- 在显示的应用程序列表中,选择要导出事件的应用程序,然后单击“属性”按钮。
- 在应用程序属性窗口中,选择“事件配置”区域。
- 在显示的事件列表中,选择一个或几个需要导出到 SIEM 系统的事件,并单击“属性”按钮。
- 在出现的事件属性窗口中,选中“使用 Syslog 导出到 SIEM 系统”复选框以标记要以 Syslog 格式导出的选定事件。清除“使用 Syslog 导出到 SIEM 系统”复选框以取消标记要以 Syslog 格式导出的选定事件。
如果事件属性在策略中定义,该窗口的字段无法被编辑。
“事件属性”窗口
- 单击“确定”保存更改。
- 在应用程序属性窗口和设备属性窗口中单击“确定”。
标记的事件将以 Syslog 格式发送到 SIEM 系统。取消选中“使用 Syslog 导出到 SIEM 系统”复选框的事件不会导出到 SIEM 系统。导出将在您启用自动导出和选择要导出的事件后立即开始。配置 SIEM 系统以确保它接收来自 Kaspersky Security Center 的事件。