Настройка публикации событий программы в SIEM-систему

Для настройки публикации событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения.

Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите публиковать в SIEM-систему. Только после настройки публикации событий следует включать экспорт событий в формате CEF.

Чтобы настроить публикацию событий приложения в SIEM-систему:

  1. Если Kaspersky Web Traffic Security был установлен из iso-файла, подключитесь к консоли управления виртуальной машиной Kaspersky Web Traffic Security под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.

    Если Kaspersky Web Traffic Security был установлен из rpm- или deb-пакета, запустите командную оболочку операционной системы для выполнения команд с полномочиями суперпользователя (администратора системы).

  2. События передаются во внешнюю SIEM-систему с помощью системной службы ведения журналов rsyslog. Убедитесь, что служба установлена и запущена, с помощью команды:

    systemctl status rsyslog

    Статус службы должен быть running.

    Если служба rsyslog не запущена или отсутствует, установите и активируйте службу rsyslog согласно документации вашей операционной системы.

  3. Укажите адрес и порт подключения к серверу с SIEM-системой. Для этого создайте файл /etc/rsyslog.d/kwts-cef-messages.conf и добавьте в него следующие строки:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>

    local5.* stop

    Пример:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@10.16.32.64:514

    local5.* stop
  4. Перезапустите службу rsyslog. Для этого выполните команду:

    systemctl restart rsyslog

  5. Проверьте статус службы rsyslog с помощью команды:

    systemctl status rsyslog

    Статус должен быть running.

  6. Отправьте тестовое сообщение в SIEM-систему с помощью команды:

    logger -p local5.info Test message

Публикация событий приложения в SIEM-систему будет настроена.

В начало