Pour configurer la publication des événements en mode Support Technique, vous devez d'abord télécharger la clé publique SSH dans l'interface web de l'application.
Suivez les instructions ci-dessous sur chaque nœud de cluster à partir duquel vous souhaitez publier des événements dans le système SIEM. Ce n'est qu'après avoir configuré la publication des événements que vous devez activer l'exportation des événements au format CEF.
Pour configurer la publication des événements d'application sur le système SIEM :
Si Kaspersky Web Traffic Security a été installé à partir d'un paquet rpm ou deb, lancez le shell de commande du système d'exploitation pour exécuter les commandes avec les privilèges de superutilisateur (administrateur système).
systemctl status rsyslog
L'état du service doit être en cours d'exécution
.
Si le service rsyslog n'est pas en cours d'exécution ou est absent, installez et activez le service rsyslog conformément à la documentation de votre système d'exploitation.
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @@<adresse IP du système SIEM> :<port sur lequel le système SIEM reçoit les messages de Syslog via TCP>
local5.* stop
Exemple :
|
systemctl restart rsyslog
systemctl status rsyslog
L'état doit être en cours d'exécution
.
logger -p local5.info Test message
La publication des événements de l'application sur le système SIEM sera configurée.
Haut de page