Configuration de l'export d'événements au format CEF

Avant d'activer l'exportation des événements au format CEF, vous devez installer le paquet de mise à jour siem_logging_fixes.zip sur chaque nœud du cluster Kaspersky Web Traffic Security. Le paquet de mise à jour est disponible sur demande auprès du service d'assistance technique.

Pour activer l'exportation des événements en mode Support Technique, vous devez d'abord télécharger la clé publique SSH dans l'interface Web de l'application et configurer la publication des événements de l'application dans le système SIEM.

Suivez les instructions ci-dessous sur chaque nœud de cluster à partir duquel vous souhaitez exporter les événements au format CEF.

Pour configurer l'exportation des événements au format CEF :

  1. Si Kaspersky Web Traffic Security a été installé à partir d'un fichier ISO, connectez-vous à la console d'administration de la machine virtuelle Kaspersky Web Traffic Security sous le compte root à l'aide de la clé privée SSH. Vous entrerez en mode Support Technique.

    Si Kaspersky Web Traffic Security a été installé à partir d'un paquet rpm ou deb, lancez le shell de commande du système d'exploitation pour exécuter les commandes avec les privilèges de superutilisateur (administrateur système).

  2. Accédez au répertoire /opt/kaspersky/kwts/share/templates/core_settings et créez une copie de sauvegarde du fichier event_logger.json.template à l'aide de la commande :

    cp -p event_logger.json.template event_logger.json.template.backup

  3. Ouvrez le fichier event_logger.json.template pour le modifier et, en respectant la syntaxe et la structure du fichier JSON, spécifiez les valeurs de paramètres suivantes dans la section siemSettings :

    "enabled": true,

    "facility": "Local5",

    "logLevel": "Info",

  4. Dans l'interface web de l'application dans la section ParamètresJournaux et événements, modifiez la valeur de n'importe quel paramètre et cliquez sur le bouton Enregistrer.

    Ceci est nécessaire pour synchroniser les paramètres entre les nœuds du cluster et appliquer les modifications apportées au fichier de configuration. Vous pouvez ensuite renvoyer la valeur originale du paramètre modifié.

  5. Vérifiez que les modifications ont été appliquées à l'aide de la commande :

    /opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings

    La réponse doit contenir des paramètres avec les valeurs spécifiées à l'étape 3.

L'exportation des événements au format CEF sera configurée.

Si vous souhaitez désactiver l'exportation des événements au format CEF, suivez les étapes ci-dessus et à l'étape 3 définissez la valeur du paramètre "enabled": false .

Haut de page