配置卡巴斯基安全管理中心以將事件匯出到 SIEM 系統

延伸所有 | 折疊所有

您可以在卡巴斯基安全管理中心中啟用自動事件匯出。

一般事件可以透過 CEF 和 LEEF 格式從受管理應用程式匯出。應用程式特定事件無法透過 CEF 和 LEEF 格式從受管理應用程式匯出。如果您需要匯出受管理的應用程式的事件或使用受管理的應用程式的政策配置的自訂事件集,您必須以 Syslog 格式匯出這些事件。

若要啟用事件自動匯出:

  1. 在卡巴斯基安全管理中心主控台樹狀目錄,選取您要匯出事件的管理伺服器。
  2. 在所選管理伺服器的工作區中,選擇事件頁簽。
  3. 點擊設定通知和事件匯出連結旁的下拉箭頭並選取下拉清單的設定匯出到 SIEM 系統

    事件內容視窗中將開啟事件匯出區域。

  4. 事件匯出區域中,指定以下匯出設定:

    在“事件匯出”區域中,“自動匯出事件至 SIEM 系統資料庫”核取方塊得到選擇,SIEM 系統內容被設為 ArcSight(CEF 格式),SIEM 系統伺服器位址和連接埠被指定,通訊協定內容被設為 TCP/IP。

    事件內容視窗的事件匯出區域

    • 自動匯出事件至SIEM系統資料庫
    • SIEM 系統
    • SIEM 系統伺服器位址
    • SIEM 系統伺服器連接埠
    • 協定

    如果選取 Syslog 格式,則必須指定:

    • 最大訊息大小,位元
  5. 如果您要將發生在指定日期後的事件匯出到 SIEM 系統資料庫,請點擊匯出檔案按鈕並指定事件匯出的開始日期。預設下,事件匯出在您啟用後立即開始。
  6. 點擊確定

自動匯出事件被啟用。

在啟用自動匯出事件後,您必須選取將被匯出到 SIEM 系統的事件。

另請參閱:

情境:設定事件匯出到 SIEM 系統

標記事件,將其以 Syslog 格式匯出到 SIEM 系統

頁頂