SIEM システムへの製品イベントの公開の設定

テクニカルサポートモードでイベントの公開を設定するには、最初に本製品の Web インターフェイスに SSH 公開鍵をアップロードする必要があります。

設定を始める前に、CEF 形式でのイベントのエクスポートが有効になっていることを確認してください。

SIEM システムにイベントを公開したいそれぞれのクラスタノードで、以下の手順を実行します。

SIEM システムへの製品イベントの公開を設定するには：

SSH 秘密鍵を使用して、root アカウントで Kaspersky Secure Mail Gateway 仮想マシン管理コンソールに接続します。
テクニカルサポートモードに入ります。
SIEM システムをホストしているサーバーに接続するためのアドレスとポートを指定します。この操作には、/etc/rsyslog.conf ファイルの最後に次の行を追加します。
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<カテゴリ（ファシリティ）>.* @@<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>
/etc/rsyslog.conf ファイルに変更を加える前に、バックアップコピーを作成することを推奨します。ファイルの編集中にエラーが発生すると、システムが正しく動作しなくなる可能性があります。
rsyslog サービスを再起動します。この操作には、次のコマンドを実行します：
service rsyslog restart

SIEM システムへの製品イベントの公開が設定されます。