Einstellungen des Exports von Ereignissen im Format CEF anpassen
26. April 2024
ID 151533
Für die Aktivierung des Exports von Ereignissen im Modus Technical Support Mode muss im Vorfeld in der Webschnittstelle der App der öffentliche SSH-Schlüssel hinzugefügt werden.
Sie können Dateien mit exportierten Ereignissen lokal auf dem Server speichern sowie deren Veröffentlichung in das externe SIEM-System konfigurieren. Wenn Sie Dateien nicht lokal speichern müssen, lassen Sie die Schritte 4–7 aus der Anleitung dieses Abschnitts aus.
Befolgen Sie die Anweisungen weiter unten an jedem Cluster-Knoten, dessen Ereignisse Sie im Format CEF exportieren möchten.
Um den Export von Ereignissen im Format CEF zu konfigurieren, gehen Sie wie folgt vor:
- Verbinden Sie sich mit der Steuerkonsole der virtuellen Maschine Kaspersky Secure Mail Gateway unter dem Anmeldenamen root und benutzen Sie dabei den privaten SSH-Schlüssel.
Sie wechseln in den Modus Technical Support Mode.
- Geben Sie in die Datei mit den Einstellungen für den Ereignisexport /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template folgende Änderungen ein:
- Wenn Sie eine Kategorie (facility) für syslog auswählen möchten, in das die Ereignisse exportiert werden, geben Sie im Block
siemSettings
einen der folgenden Werte für den Parameterfacility
an:Auth
Authpriv
Cron
Daemon
Ftp
Lpr
Mail
News
Syslog
User
Uucp
Local0
Local1
Local2
Local3
Local4
Local5
Local6
Local7
Es wird empfohlen, eine Kategorie (facility) für syslog anzugeben, die von keinem anderen Programm auf dem Server benutzt wird.
Standardmäßig ist der Wert
local2
eingestellt. - Setzen Sie den Wert des Parameters
enabled
gleichtrue
. - Legen Sie den Detaillierungsgrad des Exports fest, indem Sie einen der folgenden Werte für den Parameter
logLevel
vorgeben:Error
– Export von Ereignissen, die mit dem Auftreten von Fehlern zusammenhängen.Info
– Export aller Ereignisse.Beispiel:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
}
- Wenn Sie eine Kategorie (facility) für syslog auswählen möchten, in das die Ereignisse exportiert werden, geben Sie im Block
- Tauschen Sie in der Datei /etc/rsyslog.conf die Zeile
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
gegen
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<in Schritte 2 ausgewählte Kategorie (facility)>.none /var/log/messages
- Fügen Sie in der Konfigurationsdatei /etc/manpath.config folgende Zeile ein:
<in Schritte 2 ausgewählte Kategorie (facility)>.* -/var/log/ksmg-cef-messages
- Legen Sie die Datei /var/log/ksmg-cef-messages an und nehmen Sie die Einstellungen der Zugriffsrechte auf sie vor. Führen Sie dazu folgende Befehle aus:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Konfigurieren Sie die Regeln für die Rotation von Dateien mit exportierten Ereignissen. Fügen Sie dazu in die Datei /etc/logrotate.d/ksmg-syslog folgende Zeilen hinzu:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Starten Sie den Dienst rsyslog neu. Führen Sie dazu den folgenden Befehl aus:
service rsyslog restart
- Nehmen Sie in der Webschnittstelle der App im Abschnitt Einstellungen → Protokolle und Ereignisse → Ereignisse eine Änderung im Wert einer beliebigen Einstellung vor und klicken Sie auf die Schaltfläche Speichern.
Das ist erforderlich für die Synchronisation der Einstellungen zwischen den Cluster-Knoten und Anwendung der in der Konfigurationsdatei vorgenommenen Änderungen. Danach können Sie den Ursprungswert der geänderten Einstellung wiederherstellen.
Der Export von Ereignissen im Format CEF wird konfiguriert.