Чтобы уменьшить нагрузку на маломощные устройства и уменьшить риск снижения производительности системы в результате увеличения размеров журналов программы, можно настроить публикацию событий аудита и событий выполнения задач по протоколу syslog на syslog-сервер.
Syslog-сервер – это внешний сервер для сбора событий (SIEM). Он хранит и анализирует полученные события, а также выполняет другие действия по управлению журналами.
Вы можете использовать интеграцию с SIEM в двух режимах:
Рекомендуется использовать этот режим, чтобы максимально снизить нагрузку на защищаемое устройство.
Программа никогда не удаляет локальные версии журнала безопасности.
Kaspersky Security для Windows Server может конвертировать события в журналах программы в форматы, поддерживаемые syslog-сервером, для передачи событий и их успешного распознавания на стороне SIEM-сервера. Программа поддерживает конвертацию в формат структурированных данных и в формат JSON.
Чтобы снизить риск неудачной отправки событий на SIEM-сервер, задайте параметры подключения к зеркальному syslog-серверу.
Зеркальный syslog-сервер – это дополнительный syslog-сервер, на использование которого программа переключается автоматически, если не удается подключиться к основному syslog-серверу или использовать его.
Интеграция с SIEM не применяется по умолчанию. Вы можете включать и выключать интеграцию с SIEM, а также настраивать соответствующие параметры (см. таблицу ниже).
Параметры интеграции с SIEM
Параметр |
Значение по умолчанию |
Описание |
---|---|---|
Отправлять события по протоколу syslog на внешний syslog-сервер |
Не применяется |
Вы можете включать и отключать интеграцию с SIEM с помощью установки или снятия флажка. |
Удалять локальные копии событий при записи на внешний syslog-сервер |
Не применяется |
Вы можете настраивать параметры хранения локальных копий журналов после их отправки на SIEM-сервер, установив или сняв флажок. |
Формат событий |
Структурированные данные |
Вы можете выбирать один из двух форматов, в которые программа конвертирует события перед отправкой на syslog-сервер для лучшего распознавания этих событий SIEM-сервером. |
Протокол подключения |
TCP |
С помощью выпадающего списка вы можете настроить подключение к основному syslog-серверу по протоколам UPD или TCP, к дополнительному syslog-серверу по протоколу TCP. |
Параметры подключения к основному syslog-серверу |
IP-адрес: 127.0.0.1 Порт: 514 |
Вы можете настраивать значения IP-адреса и порта для подключения к основному syslog-серверу с помощью соответствующих полей. Вы можете указать значение IP-адреса только в формате IPv4. |
Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен |
Не применяется |
Вы можете включать и отключать применение зеркального syslog-сервера с помощью флажка. |
Параметры подключения к дополнительному syslog-серверу |
IP-адрес: 127.0.0.1 Порт: 514 |
Вы можете настраивать значения IP-адреса и порта для подключения к дополнительному syslog-серверу с помощью соответствующих полей. Вы можете указать значение IP-адреса только в формате IPv4. |
Чтобы настроить параметры интеграции с SIEM, выполните следующие действия:
Если к устройству применяется активная политика Kaspersky Security Center, запрещающая изменение параметров программы, эти параметры недоступны для изменения в окне Параметры программы.
Откроется окно Параметры журналов и уведомлений.
Статус флажка Удалять локальные копии событий при записи на внешний syslog-сервер не влияет на параметры хранения событий журнала безопасности: программа никогда не удаляет события журнала безопасности автоматически.
По умолчанию программа выполняет конвертацию в формат структурированных данных.
IP-адрес можно указать только в формате IPv4.
Укажите следующие параметры подключения к дополнительному syslog-серверу: Адрес и Порт.
Поля Адрес и Порт для дополнительного syslog-сервера недоступны для редактирования, если снят флажок Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен.
IP-адрес можно указать только в формате IPv4.
Настроенные параметры интеграции с SIEM будут применены.
В начало