Konfigurace exportu událostí ve formátu CEF

Chcete-li povolit export událostí v režimu technické podpory, musíte nejprve do webového rozhraní aplikace nahrát veřejný klíč SSH.

Soubory obsahující exportované události můžete uložit lokálně na server a nakonfigurovat jejich publikování do externího systému SIEM. Pokud nepotřebujete ukládat soubory lokálně, můžete přeskočit kroky 4–7 pokynů v této části.

U každého uzlu clusteru, jehož události chcete exportovat ve formátu CEF, proveďte níže uvedené pokyny.

Postup konfigurace exportu událostí ve formátu CEF:

1. Připojte se ke konzole pro správu virtuálního počítače Kaspersky Secure Mail Gateway pod účtem root pomocí soukromého klíče SSH.

   Vstoupíte do režimu technické podpory.

2. Proveďte následující změny v konfiguračním souboru exportu událostí /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
   • Pokud chcete vybrat kategorii Syslog (facility), do které se budou události exportovat, zadejte jednu z následujících hodnot pro parametr facility v části siemSettings:
     • Auth
     • Authpriv
     • Cron
     • Daemon
     • FTP
     • Lpr
     • Mail
     • News
     • Syslog
     • User
     • Uucp
     • Local0
     • Local1
     • Local2
     • Local3
     • Local4
     • Local5
     • Local6
     • Local7

     Doporučuje se pro Syslog zadat kategorii (facility), kterou nepoužívají jiné programy na serveru.

     Výchozí hodnota je local2.

   • Nastavte hodnotu parametru enabled na true.
   • Definujte úroveň podrobností exportu nastavením jedné z následujících hodnot pro parametr logLevel:
     • Error – export událostí souvisejících s chybami.
     • Info – export všech událostí.

       Příklad: "siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info", }

3. V souboru /etc/rsyslog.conf změňte řetězec

   *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

   na

   *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<kategorie (facility) vybraná v kroku 2>.none /var/log/messages

4. Přidejte následující řetězec do souboru /etc/rsyslog.conf:

   <kategorie (facility) vybraná v kroku 2>.* -/var/log/ksmg-cef-messages

5. Vytvořte soubor /var/log/ksmg-cef-messages a nakonfigurujte k němu přístupová práva. Chcete-li tak učinit, spusťte příkazy:

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

6. Nakonfigurujte pravidla pro rotaci souborů obsahujících exportované události. Chcete-li tak učinit, přidejte do souboru /etc/logrotate.d/ksmg-syslog následující řetězce:

   /var/log/ksmg-cef-messages

   {

   size 500M

   rotate 10

   notifempty

   sharedscripts

   postrotate

   /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

   endscript

   }

7. Restartujte službu rsyslog. To provedete následujícím příkazem:

   service rsyslog restart

8. Ve webovém rozhraní aplikace v části Nastavení → Protokoly a události → Události upravte hodnotu libovolného parametru a klikněte na Uložit.

   To je nezbytné pro synchronizaci parametrů mezi uzly clusteru a pro použití změn, které byly provedeny v konfiguračním souboru. Poté můžete obnovit původní hodnotu upraveného parametru.

Export událostí ve formátu CEF je nyní nakonfigurován.