Avant d'activer l'exportation des événements au format CEF, vous devez installer le paquet de mise à jour siem_logging_fixes.zip sur chaque nœud du cluster Kaspersky Web Traffic Security. Le paquet de mise à jour est disponible sur demande auprès du service d'assistance technique.
Pour activer l'exportation des événements en mode Support Technique, vous devez d'abord télécharger la clé publique SSH dans l'interface Web de l'application et configurer la publication des événements de l'application dans le système SIEM.
Suivez les instructions ci-dessous sur chaque nœud de cluster à partir duquel vous souhaitez exporter les événements au format CEF.
Pour configurer l'exportation des événements au format CEF :
Si Kaspersky Web Traffic Security a été installé à partir d'un paquet rpm ou deb, lancez le shell de commande du système d'exploitation pour exécuter les commandes avec les privilèges de superutilisateur (administrateur système).
cp -p event_logger.json.template event_logger.json.template.backup
siemSettings
:"enabled": true,
"facility": "Local5",
"logLevel": "Info",
Ceci est nécessaire pour synchroniser les paramètres entre les nœuds du cluster et appliquer les modifications apportées au fichier de configuration. Vous pouvez ensuite renvoyer la valeur originale du paramètre modifié.
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
La réponse doit contenir des paramètres avec les valeurs spécifiées à l'étape 3.
L'exportation des événements au format CEF sera configurée.
Si vous souhaitez désactiver l'exportation des événements au format CEF, suivez les étapes ci-dessus et à l'étape 3 définissez la valeur du paramètre "enabled": false
.