Um die Belastung für leistungsschwache Geräte zu reduzieren und die Gefahr eines Abfalls der Systemleistung infolge eines zu großen Umfangs der Programmprotokolle zu verringern, können Sie die Veröffentlichung der Audit-Ereignisse und der Ereignisse der Aufgabenausführung über das Protokoll syslog auf dem syslog-Server einrichten.
Ein syslog-Server ist ein externer Server für Ereignis-Management (SIEM), der eingehende Ereignisse speichert und analysiert sowie andere Protokollverwaltungsaktionen ausführt.
Sie können die SIEM-Integration in zwei Modi verwenden:
Wir empfehlen, dass Sie diesen Modus verwenden, um die Last für das geschützte Gerät so gering wie möglich zu halten.
Das Programm löscht niemals lokale Versionen des Sicherheitsprotokolls.
Kaspersky Security für Windows Server kann die Ereignisse in den Programmprotokollen in die vom syslog-Server unterstützten Formate konvertieren, damit sie von SIEM-Server empfangen und erfolgreich identifiziert werden können. Das Programm unterstützt die Konvertierung von Ereignissen in ein Format für strukturierte Daten und in das JSON-Format.
Es wird empfohlen, sich bei der Auswahl des Ereignisformats an der Konfiguration des verwendeten SIEM-Servers zu orientieren.
Einstellungen für Zuverlässigkeit
Sie können das Risiko eines misslungenen Versands von Ereignissen an den SIEM-Server verringern, indem Sie die Verbindung zu einem syslog-Spiegelserver konfigurieren.
Der syslog-Spiegelserver ist ein zusätzlicher syslog-Server, zu dessen Verwendung das Programm automatisch übergeht, wenn keine Verbindung zum primären syslog-Server besteht oder wenn dieser nicht verwendet werden kann.
Kaspersky Security für Windows Server verwendet Systemaudit-Ereignisse, um Sie über erfolglose Verbindungsversuche zum SIEM-Server und Fehler beim Senden von Ereignissen an den SIEM-Server zu benachrichtigen.
Zum Seitenanfang