Configuration de la publication des événements de l'application dans le système SIEM

Pour configurer la publication des événements dans le mode Technical Support Mode, il faut d'abord télécharger une clé publique SSH dans l'interface Internet de l'application.

Avant de commencer la configuration, assurez-vous que vous avez activé l'exportation des événements au format CEF.

Exécutez l'instruction ci-dessous sur chaque nœud de cluster à partir duquel vous souhaitez publier les événements dans le système SIEM.

Pour configurer la publication des événements de l'application dans le système SIEM :

1. Connectez-vous à la console d'administration de la machine virtuelle Kaspersky Secure Mail Gateway sous le compte root en utilisant une clé privée SSH.

   Vous passerez en mode Technical Support Mode.

2. Indiquez l'adresse et le port de connexion au serveur avec le système SIEM. Pour ce faire, ajoutez les lignes suivantes à la fin du fichier /etc/rsyslog.conf :

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <catégorie (facility)>.* @@Adresse<adresse IP du système SIEM>:<port sur lequel le port SIEM reçoit les messages de Syslog via le protocole TCP>

   Avant de modifier le fichier /etc/rsyslog.conf, il est conseillé de faire sa copie de sauvegarde. Une erreur lors de la modification du fichier peut provoquer un dysfonctionnement du système.

3. Relancez le service rsyslog. Pour ce faire, exécutez la commande :

   service rsyslog restart

La publication des événements de l'application dans le système SIEM sera configurée.

Haut de page