Настройка экспорта событий в формате CEF

Для включения экспорта событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения.

Вы можете сохранять файлы с экспортированными событиями локально на сервере, а также настроить их публикацию во внешнюю SIEM-систему. Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции этого раздела.

Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите экспортировать в формате CEF.

Чтобы настроить экспорт событий в формате CEF:

1. Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH.

   Вы войдете в режим Technical Support Mode.

2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
   • Если вы хотите выбрать категорию (facility) для syslog, в которую будут экспортироваться события, в блоке siemSettings укажите одно из следующих значений параметра facility:
     • Auth.
     • Authpriv.
     • Cron.
     • Daemon.
     • Ftp.
     • Lpr.
     • Mail.
     • News.
     • Syslog.
     • User.
     • Uucp.
     • Local0.
     • Local1.
     • Local2.
     • Local3.
     • Local4.
     • Local5.
     • Local6.
     • Local7.

     Рекомендуется указать такую категорию (facility) для syslog, которая не используется другими программами на сервере.

     По умолчанию установлено значение local2.

   • Установите значение параметра enabled равным true.
   • Задайте уровень детализации экспорта, установив одно из следующих значений параметра logLevel:
     • Error – экспорт событий, связанных с возникновением ошибок.
     • Info – экспорт всех событий.

       Пример: "siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info", }

3. В файле /etc/rsyslog.conf измените строку

   *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

   на

   *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages

4. Добавьте в файл /etc/rsyslog.conf следующую строку:

   <категория (facility), выбранная на шаге 2>.* -/var/log/ksmg-cef-messages

5. Создайте файл /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog следующие строки:

   /var/log/ksmg-cef-messages

   {

   size 500M

   rotate 10

   notifempty

   sharedscripts

   postrotate

   /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

   endscript

   }

7. Перезапустите службу rsyslog. Для этого выполните команду:

   service rsyslog restart

8. В веб-интерфейсе приложения в разделе Параметры → Журналы и события → События внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.

   Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.

Экспорт событий в формате CEF будет настроен.

В начало