Configurar la exportación de eventos en formato CEF

Para activar la exportación de eventos en el modo de soporte técnico, primero debe cargar la clave SSH pública en la interfaz web de la aplicación.

Puede guardar los archivos que contienen eventos exportados a nivel local en el servidor y configurar su publicación en un sistema SIEM externo. Si no necesita guardar los archivos a nivel local, puede omitir los pasos 4 a 7 de las instrucciones de esta sección.

Siga las instrucciones a continuación en cada nodo de clúster cuyos eventos desee exportar en formato CEF.

Para configurar la exportación de eventos en formato CEF, realice lo siguiente:

  1. Conéctese a la consola de administración de la máquina virtual de Kaspersky Secure Mail Gateway en la cuenta raíz utilizando una clave SSH privada.

    Entrará en modo de soporte técnico.

  2. Realice los siguientes cambios en el archivo de configuración de exportación de eventos /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
    • Si desea seleccionar la categoría (facility) de syslog a la que se exportarán los eventos, especifique uno de los siguientes valores para el parámetro facility en la sección siemSettings:
      • Auth
      • Authpriv
      • Cron
      • Daemon
      • Ftp
      • Lpr
      • Mail
      • News
      • Syslog
      • User
      • Uucp
      • Local0
      • Local1
      • Local2
      • Local3
      • Local4
      • Local5
      • Local6
      • Local7

      Se recomienda especificar una categoría (facility) para syslog que otros programas en el servidor no utilicen.

      El valor predeterminado es local2.

    • Establezca el valor del parámetro enabled en true.
    • Defina el nivel de detalle de la exportación estableciendo uno de los siguientes valores para el parámetro logLevel:
      • Error: exportar eventos relacionados con errores.
      • Info: exportar todos los eventos.

        Ejemplo:

        "siemSettings":

        {

        "enabled": true,

        "facility": "Local2",

        "logLevel": "Info",

        }

         
  3. En el archivo /etc/rsyslog.conf, cambie la cadena

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

    a

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<instalación seleccionada en el paso 2>.none /var/log/messages

  4. Añada las cadena siguiente al archivo /etc/rsyslog.conf:

    <instalación seleccionada en el paso 2>. * - / var / log / ksmg-cef-messages

  5. Cree el archivo /var/log/ksmg-cef-messages y configure sus derechos de acceso. Para hacerlo, ejecute los comandos:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  6. Configure las reglas para rotar los archivos que contienen eventos exportados. Para hacerlo, añada las cadenas siguientes al archivo /etc/logrotate.d/ksmg-syslog:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  7. Reinicie el servicio rsyslog. Para hacerlo, ejecute el comando siguiente:

    service rsyslog restart

  8. En la interfaz web de la aplicación, en la sección ConfiguraciónRegistros y eventosEventos, modifique el valor de cualquier configuración y haga clic en Guardar.

    Esto es necesario para la sincronización de los parámetros entre los nodos de clúster y para aplicar los cambios que se realizaron en el archivo de configuración. A continuación, puede restaurar el valor original de un parámetro modificado.

Ya se configuró la exportación de eventos en formato CEF.

Inicio de página