Mise en place de la publication des événements de l'application dans le système SIEM

Pour configurer la publication des événements en mode Support Technique, vous devez d'abord télécharger la clé publique SSH dans l'interface web de l'application.

Suivez les instructions ci-dessous sur chaque nœud de cluster à partir duquel vous souhaitez publier des événements dans le système SIEM. Ce n'est qu'après avoir configuré la publication des événements que vous devez activer l'exportation des événements au format CEF.

Pour configurer la publication des événements d'application sur le système SIEM :

  1. Si Kaspersky Web Traffic Security a été installé à partir d'un fichier ISO, connectez-vous à la console d'administration de la machine virtuelle Kaspersky Web Traffic Security sous le compte root à l'aide de la clé privée SSH. Vous entrerez en mode Support Technique.

    Si Kaspersky Web Traffic Security a été installé à partir d'un paquet rpm ou deb, lancez le shell de commande du système d'exploitation pour exécuter les commandes avec les privilèges de superutilisateur (administrateur système).

  2. Les événements sont envoyés à un système SIEM externe à l'aide du service de journalisation système rsyslog. Vérifiez que le service est installé et exécuté à l'aide de la commande :

    systemctl status rsyslog

    L'état du service doit être en cours d'exécution.

    Si le service rsyslog n'est pas en cours d'exécution ou est absent, installez et activez le service rsyslog conformément à la documentation de votre système d'exploitation.

  3. Spécifiez l'adresse et le port de connexion au serveur avec le système SIEM. Pour cela, créez un fichier /etc/rsyslog.d/kwts-cef-messages.conf et ajoutez-y les lignes suivantes :

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@<adresse IP du système SIEM> :<port sur lequel le système SIEM reçoit les messages de Syslog via TCP>

    local5.* stop

    Exemple :

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@10.16.32.64:514

    local5.* stop

  4. Relancez le service rsyslog. Pour ce faire, saisissez la commande :

    systemctl restart rsyslog

  5. Vérifiez l'état du service rsyslog à l'aide de la commande :

    systemctl status rsyslog

    L'état doit être en cours d'exécution.

  6. Envoyez un message de test au système SIEM à l'aide de la commande :

    logger -p local5.info Test message

La publication des événements de l'application sur le système SIEM sera configurée.

Haut de page