低パフォーマンスデバイスの負荷を低下させ、アプリケーションログのサイズの肥大化によるシステムの性能低下のリスクを低減するために、Syslog プロトコルによる syslog サーバーへの監査イベントおよびタスクパフォーマンスイベントの公開を設定できます。
syslog サーバーは、イベント(SIEM)を集計するための外部サーバーです。受信したイベントを保管、分析し、その他のログ管理処理も実行します。
次の 2 つのモードで SIEM 統合を使用できます:
このモードを使用して、保護対象デバイスの負荷をできるだけ軽減してください。
セキュリティログのローカルバージョンは決して削除されません。
Kaspersky Security for Windows Server はアプリケーションログのイベントを syslog サーバーでサポートされる形式に変換して、イベントを送信し SIEM サーバーが正常に認識できるようにできます。STRUCTURED-DATA 形式や JSON 形式への変換がサポートされています。
使用されている SIEM サーバーの設定に基づいて、イベントのフォーマットを選択してください。
信頼性設定
SIEM サーバーへのイベントの送信に失敗するリスクを軽減するために、ミラー syslog サーバーへの接続設定を指定できます。
ミラー syslog サーバーは追加の syslog サーバーで、メインの syslog サーバーに接続できないか、メインのサーバーが使用できない場合に、自動的に切り替えられます。
Kaspersky Security for Windows Server では、SIEM サーバーへの接続試行の失敗および SIEM サーバーへのイベント送信中のエラーについて、システム監査イベントを使用して通知することもできます。
ページのトップに戻る