Veröffentlichung von Ereignissen der App im SIEM-System konfigurieren

Für die Konfiguration der Veröffentlichung von Ereignissen im Modus Technical Support Mode muss im Vorfeld in der Webschnittstelle der App der öffentliche SSH-Schlüssel hochgeladen werden.

Vor Beginn der Konfiguration vergewissern Sie sich, dass Sie den Export von Ereignissen im Format CEF aktiviert haben.

Befolgen Sie die Anweisungen weiter unten an jedem Cluster-Knoten, dessen Ereignisse Sie im SIEM-System veröffentlichen möchten.

So konfigurieren Sie die Veröffentlichungen von App-Ereignisse im SIEM-System:

1. Verbinden Sie sich mit der Steuerkonsole der virtuellen Maschine Kaspersky Secure Mail Gateway unter dem Anmeldenamen root und benutzen Sie dabei den privaten SSH-Schlüssel.

   Sie wechseln in den Modus Technical Support Mode.

2. Geben Sie die Adresse und Port für die Verbindung mit dem Server mit dem SIEM-System an. Fügen Sie dazu am Ende der Datei /etc/rsyslog.conf die folgenden Zeilen ein:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <Kategorie (facility)>.*@@<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das TCP-Protokoll empfängt>

   Es wird empfohlen, vor der Eintragung von Änderungen in die Datei /etc/rsyslog.conf eine Reservekopie dieser Datei zu erstellen. Ein Fehler bei der Bearbeitung der Datei kann zu eine nicht korrekte Systemausführung nach sich ziehen.

3. Starten Sie den Dienst rsyslog neu. Führen Sie dazu folgenden Befehl aus:

   service rsyslog restart

Das Veröffentlichen von Ereignissen der App im SIEM-System wird konfiguriert.

Nach oben