Konfigurace exportu událostí ve formátu CEF
4. dubna 2024
ID 151533
Chcete-li povolit export událostí v režimu technické podpory, musíte nejprve do webového rozhraní aplikace nahrát veřejný klíč SSH.
Soubory obsahující exportované události můžete uložit lokálně na server a nakonfigurovat jejich publikování do externího systému SIEM. Pokud nepotřebujete ukládat soubory lokálně, můžete přeskočit kroky 4–7 pokynů v této části.
U každého uzlu clusteru, jehož události chcete exportovat ve formátu CEF, proveďte níže uvedené pokyny.
Postup konfigurace exportu událostí ve formátu CEF:
- Připojte se ke konzole pro správu virtuálního počítače Kaspersky Secure Mail Gateway pod účtem root pomocí soukromého klíče SSH.
Vstoupíte do režimu technické podpory.
- Proveďte následující změny v konfiguračním souboru exportu událostí /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
- Pokud chcete vybrat kategorii Syslog (facility), do které se budou události exportovat, zadejte jednu z následujících hodnot pro parametr
facility
v částisiemSettings
:Auth
Authpriv
Cron
Daemon
FTP
Lpr
Mail
News
Syslog
User
Uucp
Local0
Local1
Local2
Local3
Local4
Local5
Local6
Local7
Doporučuje se pro Syslog zadat kategorii (facility), kterou nepoužívají jiné programy na serveru.
Výchozí hodnota je
local2
. - Nastavte hodnotu parametru
enabled
natrue
. - Definujte úroveň podrobností exportu nastavením jedné z následujících hodnot pro parametr
logLevel
:Error
– export událostí souvisejících s chybami.Info
– export všech událostí.Příklad:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
}
- Pokud chcete vybrat kategorii Syslog (facility), do které se budou události exportovat, zadejte jednu z následujících hodnot pro parametr
- V souboru /etc/rsyslog.conf změňte řetězec
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
na
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<kategorie (facility) vybraná v kroku 2>.none /var/log/messages
- Přidejte následující řetězec do souboru /etc/rsyslog.conf:
<kategorie (facility) vybraná v kroku 2>.* -/var/log/ksmg-cef-messages
- Vytvořte soubor /var/log/ksmg-cef-messages a nakonfigurujte k němu přístupová práva. Chcete-li tak učinit, spusťte příkazy:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Nakonfigurujte pravidla pro rotaci souborů obsahujících exportované události. Chcete-li tak učinit, přidejte do souboru /etc/logrotate.d/ksmg-syslog následující řetězce:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Restartujte službu rsyslog. To provedete následujícím příkazem:
service rsyslog restart
- Ve webovém rozhraní aplikace v části Nastavení → Protokoly a události → Události upravte hodnotu libovolného parametru a klikněte na Uložit.
To je nezbytné pro synchronizaci parametrů mezi uzly clusteru a pro použití změn, které byly provedeny v konfiguračním souboru. Poté můžete obnovit původní hodnotu upraveného parametru.
Export událostí ve formátu CEF je nyní nakonfigurován.