Konfigurace publikování událostí aplikace do systému SIEM

23. května 2024

ID 218660

Chcete-li nakonfigurovat publikování událostí v režimu technické podpory, musíte nejprve do webového rozhraní aplikace nahrát veřejný klíč SSH.

Před zahájením konfigurace se ujistěte, že máte povolen export událostí ve formátu CEF.

U každého uzlu clusteru, jehož události chcete exportovat do systému SIEM, proveďte níže uvedené pokyny.

Postup konfigurace publikování událostí aplikace do systému SIEM:

  1. Připojte se ke konzole pro správu virtuálního počítače Kaspersky Secure Mail Gateway pod účtem root pomocí soukromého klíče SSH.

    Vstoupíte do režimu technické podpory.

  2. Zadejte adresu a port pro připojení k serveru hostujícímu systém SIEM. Chcete-li tak učinit, přidejte na konec souboru /etc/rsyslog.conf následující řádky:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    <kategorie (facility)>.* @@<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes TCP>

    Před provedením jakýchkoli změn v souboru /etc/rsyslog.conf se doporučuje vytvořit záložní kopii. Chyba při úpravě souboru může způsobit nesprávné fungování systému.

  3. Restartujte službu rsyslog. To provedete následujícím příkazem:

    service rsyslog restart

Je nakonfigurováno publikování událostí aplikace do systému SIEM.

Byl článek užitečný?
Co můžeme vylepšit?
Děkujeme za vaši zpětnou vazbu! Pomáháte nám se zlepšovat.
Děkujeme za vaši zpětnou vazbu! Pomáháte nám se zlepšovat.