設定將應用程式事件發佈到 SIEM 系統

要在技術支援模式下設定事件發佈，您必須先在應用程式 Web 介面中上傳 SSH 公用金鑰。

在開始設定之前，確保您已啟用 CEF 格式的事件匯出。

在您想要將事件發佈到 SIEM 系統的每個叢集節點上執行以下指令。

要設定將應用程式事件發佈到 SIEM 系統：

1. 在 root 帳戶下使用 SSH 私密金鑰連線到 Kaspersky Secure Mail Gateway 虛擬機器管理主控台。

   您將進入技術支援模式。

2. 指定用於連線到承载 SIEM 系統之伺服器的位址和連接埠。為此，請將以下幾行新增到 /etc/rsyslog.conf 檔案的末尾：

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <category (facility)>.* @@<IP address of the SIEM system>:<port used by the SIEM system to receive messages from Syslog over TCP>

   在對 /etc/rsyslog.conf 檔案進行任何變更之前，建議您產生備份副本。編輯檔案時出錯可能會導致系統執行不正確。

3. 重新啟動 rsyslog 服務。為此，執行以下指令：

   service rsyslog restart

將設定向 SIEM 系統發佈應用程式事件。

頁面頂端