Pour diminuer la charge sur les appareils de faible puissance et réduire le risque de dégradation du système suite à l'augmentation des tailles des journaux de l'application, vous pouvez configurer la publication des événements de l'audit et des événements des tâches exécutées via le protocole syslog sur le serveur syslog.
Un serveur syslog est un serveur externe qui sert à la collecte des événements (SIEM). Il stocke et analyse les événements reçu et exécute d'autres actions de gestion de journaux.
Vous pouvez utiliser deux modes d'intégration à SIEM :
Nous conseillons l'utilisation de ce mode pour réduire autant que possible la charge sur l'appareil protégé.
L'application ne supprime jamais les versions locales des Journaux de sécurité.
Kaspersky Security for Windows Server peut convertir les événements dans les journaux de l'application aux formats pris en charge par le serveur syslog afin que ces événements puissent être transmis et reconnus par le serveur SIEM. L'application prend en charge la conversion au format de données structurées et au format JSON.
Il est recommandé de choisir le format des événements d'après la configuration du serveur SIEM utilisé.
Paramètres de fiabilité
Vous pouvez réduire le risque d'erreur d'envoi des événements au serveur SIEM en indiquant les paramètres de connexion au serveur syslog de miroir.
Le serveur syslog de miroir est un serveur syslog complémentaire vers lequel l'application passe automatiquement si la connexion au serveur principal syslog ou son utilisation sont impossibles.
Kaspersky Security for Windows Server utilise également les événements de l'audit système pour vous signaler les tentatives ratées de connexion au serveur SIEM ainsi que les erreurs survenues lors de l'envoi des événements au serveur SIEM.
Haut de page