В KES для Linux, начиная с версии 12.2, есть возможность отправлять события из журналов Linux в коллектор KUMA. Это позволяет получить в KUMA события из журналов Linux со всех хостов, на которых установлен KES для Linux версии 12.2. Чтобы активировать функционал, необходимо:
Настройка получения событий состоит из следующих этапов:
В KUMA должно быть настроено получение обновлений через серверы обновлений Лаборатории Касперского.
Нажмите Импорт ресурсов и выберите [OOTB] KESL syslog cef в списке доступных к установке нормализаторов.
Для получения событий Linux на шаге Транспорт выберите TCP или UDP и укажите номер порта, который будет прослушивать коллектор. На шаге Парсинг событий выберите нормализатор [OOTB] KESL syslog cef.
Если в вашей лицензии не было ключа активации функционала оправки журналов Linux в коллектор KUMA, направьте в Службу технической поддержки письмо следующего содержания: "У нас приобретена лицензия KUMA и используется KES для Linux версии 12.2. Мы планируем активировать функционал отправки журналов Linux в коллектор KUMA. Просим предоставить файл ключа для активации соответствующего функционала". Новым пользователям KUMA не требуется писать запрос в Службу технической поддержки, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активирования функционала KES для Linux.
В ответ на письмо вам будет предоставлен файл ключа.
Файл ключа, активирующий функционал отправки событий Linux в коллекторы KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES в соответствии с инструкцией. Также необходимо в политике KES добавить адреса серверов KUMA и настроить сетевые параметры подключения.
Вы можете проверить, что настройка сервера источника событий Linux выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.
KES для Linux передает следующие события: