Чтобы уменьшить нагрузку на маломощные устройства и уменьшить риск снижения производительности системы в результате увеличения размеров журналов программы, можно настроить публикацию событий аудита и событий выполнения задач по протоколу syslog на syslog-сервер.
Syslog-сервер – это внешний сервер для сбора событий (SIEM). Он хранит и анализирует полученные события, а также выполняет другие действия по управлению журналами.
Вы можете использовать интеграцию с SIEM в двух режимах:
Рекомендуется использовать этот режим, чтобы максимально снизить нагрузку на защищаемое устройство.
Программа никогда не удаляет локальные версии журнала безопасности.
Kaspersky Security для Windows Server может конвертировать события в журналах программы в форматы, поддерживаемые syslog-сервером, для передачи событий и их успешного распознавания на стороне SIEM-сервера. Программа поддерживает конвертацию в формат структурированных данных и в формат JSON.
Рекомендуется выбирать формат событий на основе конфигурации используемого SIEM-сервера.
Параметры надежности
Чтобы снизить риск неудачной отправки событий на SIEM-сервер, задайте параметры подключения к зеркальному syslog-серверу.
Зеркальный syslog-сервер – это дополнительный syslog-сервер, на использование которого программа переключается автоматически, если не удается подключиться к основному syslog-серверу или использовать его.
Также Kaspersky Security для Windows Server использует события системного аудита для уведомления о неудачных попытках подключения к SIEM-серверу и об ошибках отправки событий на SIEM-сервер.
В начало