Перед включением экспорта событий в формате CEF требуется установить пакет обновления siem_logging_fixes.zip на каждом узле кластера Kaspersky Web Traffic Security. Пакет обновления предоставляется по запросу в Службу технической поддержки.
Для включения экспорта событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения и настроить публикацию событий программы в SIEM-систему.
Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите экспортировать в формате CEF.
Чтобы настроить экспорт событий в формате CEF:
Если Kaspersky Web Traffic Security был установлен из rpm- или deb-пакета, запустите командную оболочку операционной системы для выполнения команд с полномочиями суперпользователя (администратора системы).
cp -p event_logger.json.template event_logger.json.template.backup
siemSettings укажите следующие значения параметров:"enabled": true,
"facility": "Local5",
"logLevel": "Info",
Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
Ответ должен содержать параметры со значениями, указанными в п. 3.
Экспорт событий в формате CEF будет настроен.
Если вы хотите отключить экспорт событий в формате CEF, выполните шаги инструкции выше и в п. 3 установите значение параметра "enabled": false.