Configurar la publicación de eventos de la aplicación en un sistema SIEM

Para configurar la publicación de eventos en el modo de soporte técnico, primero debe cargar la clave SSH pública en la interfaz web de la aplicación.

Antes de iniciar la configuración, asegúrese de haber activado la exportación de eventos en formato CEF.

Siga las instrucciones a continuación en cada nodo de clúster cuyos eventos desee publicar en un sistema SIEM.

Para configurar la publicación de los eventos de la aplicación en un sistema SIEM, realice lo siguiente:

1. Conéctese a la consola de administración de la máquina virtual de Kaspersky Secure Mail Gateway en la cuenta raíz utilizando una clave SSH privada.

   Entrará en modo de soporte técnico.

2. Especifique la dirección y el puerto para conectarse al servidor que aloja el sistema SIEM. Para hacerlo, añada las siguientes líneas al final del archivo /etc/rsyslog.conf:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <categoría (facility)>.* @@<dirección IP del sistema SIEM>:<puerto utilizado por el sistema SIEM para recibir mensajes de syslog a través de TCP>

   Antes de hacer cambios en el archivo /etc/rsyslog.conf, se recomienda que haga una copia de seguridad. Si se produce un error al editar el archivo, podría ocasionar que el sistema no funcione correctamente.

3. Reinicie el servicio rsyslog. Para hacerlo, ejecute el comando siguiente:

   service rsyslog restart

Se configurará la publicación de los eventos de la aplicación en el sistema SIEM.

Inicio de página