Veröffentlichung von Ereignissen der App im SIEM-System konfigurieren
26. April 2024
ID 218660
Für die Konfiguration der Veröffentlichung von Ereignissen im Modus Technical Support Mode muss im Vorfeld in der Webschnittstelle der App der öffentliche SSH-Schlüssel hochgeladen werden.
Vor Beginn der Konfiguration vergewissern Sie sich, dass Sie den Export von Ereignissen im Format CEF aktiviert haben.
Befolgen Sie die Anweisungen weiter unten an jedem Cluster-Knoten, dessen Ereignisse Sie im SIEM-System veröffentlichen möchten.
So konfigurieren Sie die Veröffentlichungen von App-Ereignisse im SIEM-System:
- Verbinden Sie sich mit der Steuerkonsole der virtuellen Maschine Kaspersky Secure Mail Gateway unter dem Anmeldenamen root und benutzen Sie dabei den privaten SSH-Schlüssel.
Sie wechseln in den Modus Technical Support Mode.
- Geben Sie die Adresse und Port für die Verbindung mit dem Server mit dem SIEM-System an. Fügen Sie dazu am Ende der Datei /etc/rsyslog.conf die folgenden Zeilen ein:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<Kategorie (facility)>.*@@<IP-Adresse des SIEM-Systems>:<Port, über den das SIEM-System Nachrichten von syslog über das TCP-Protokoll empfängt>
Es wird empfohlen, vor der Eintragung von Änderungen in die Datei /etc/rsyslog.conf eine Reservekopie dieser Datei zu erstellen. Ein Fehler bei der Bearbeitung der Datei kann zu eine nicht korrekte Systemausführung nach sich ziehen.
- Starten Sie den Dienst rsyslog neu. Führen Sie dazu den folgenden Befehl aus:
service rsyslog restart
Das Veröffentlichen von Ereignissen der App im SIEM-System wird konfiguriert.