Einstellungen des Exports von Ereignissen im Format CEF anpassen

Für die Aktivierung des Exports von Ereignissen im Modus Technical Support Mode muss im Vorfeld in der Webschnittstelle der App der öffentliche SSH-Schlüssel hinzugefügt werden.

Sie können Dateien mit exportierten Ereignissen lokal auf dem Server speichern sowie deren Veröffentlichung in das externe SIEM-System konfigurieren. Wenn Sie Dateien nicht lokal speichern müssen, lassen Sie die Schritte 4–7 aus der Anleitung dieses Abschnitts aus.

Befolgen Sie die Anweisungen weiter unten an jedem Cluster-Knoten, dessen Ereignisse Sie im Format CEF exportieren möchten.

Um den Export von Ereignissen im Format CEF zu konfigurieren, gehen Sie wie folgt vor:

  1. Verbinden Sie sich mit der Steuerkonsole der virtuellen Maschine Kaspersky Secure Mail Gateway unter dem Anmeldenamen root und benutzen Sie dabei den privaten SSH-Schlüssel.

    Sie wechseln in den Modus Technical Support Mode.

  2. Geben Sie in die Datei mit den Einstellungen für den Ereignisexport /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template folgende Änderungen ein:
    • Wenn Sie eine Kategorie (facility) für syslog auswählen möchten, in das die Ereignisse exportiert werden, geben Sie im Block siemSettings einen der folgenden Werte für den Parameter facility an:
      • Auth
      • Authpriv
      • Cron
      • Daemon
      • Ftp
      • Lpr
      • Mail
      • News
      • Syslog
      • User
      • Uucp
      • Local0
      • Local1
      • Local2
      • Local3
      • Local4
      • Local5
      • Local6
      • Local7

      Es wird empfohlen, eine Kategorie (facility) für syslog anzugeben, die von keinem anderen Programm auf dem Server benutzt wird.

      Standardmäßig ist der Wert local2eingestellt.

    • Setzen Sie den Wert des Parameters enabled gleich true.
    • Legen Sie den Detaillierungsgrad des Exports fest, indem Sie einen der folgenden Werte für den Parameter logLevel vorgeben:
      • Error – Export von Ereignissen, die mit dem Auftreten von Fehlern zusammenhängen.
      • Info – Export aller Ereignisse.

        Beispiel:

        "siemSettings"

        {

        "enabled": true,

        "facility": "Local2",

        "logLevel": "Info",

        }

         

  3. Tauschen Sie in der Datei /etc/rsyslog.conf die Zeile

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

    gegen

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<in Schritte 2 ausgewählte Kategorie (facility)>.none /var/log/messages

  4. Fügen Sie in der Konfigurationsdatei /etc/manpath.config folgende Zeile ein:

    <in Schritte 2 ausgewählte Kategorie (facility)>.* -/var/log/ksmg-cef-messages

  5. Legen Sie die Datei /var/log/ksmg-cef-messages an und nehmen Sie die Einstellungen der Zugriffsrechte auf sie vor. Führen Sie dazu folgende Befehle aus:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  6. Konfigurieren Sie die Regeln für die Rotation von Dateien mit exportierten Ereignissen. Fügen Sie dazu in die Datei /etc/logrotate.d/ksmg-syslog folgende Zeilen hinzu:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  7. Starten Sie den Dienst rsyslog neu. Führen Sie dazu folgenden Befehl aus:

    service rsyslog restart

  8. Nehmen Sie in der Webschnittstelle der App im Abschnitt Einstellungen Protokolle und Ereignisse Ereignisse eine Änderung im Wert einer beliebigen Einstellung vor und klicken Sie auf die Schaltfläche Speichern.

    Das ist erforderlich für die Synchronisation der Einstellungen zwischen den Cluster-Knoten und Anwendung der in der Konfigurationsdatei vorgenommenen Änderungen. Danach können Sie den Ursprungswert der geänderten Einstellung wiederherstellen.

Der Export von Ereignissen im Format CEF wird konfiguriert.

Nach oben