Configuration de l'exportation des événements au format CEF

21 novembre 2023

ID 151533

Pour inclure l'exportation des événements dans le mode Technical Support Mode, il faut d'abord télécharger une clé publique SSH dans l'interface Internet de l'application.

Vous pouvez enregistrer les fichiers avec les événements exportés sur le serveur de manière locale, ainsi que de configurer leur publication sur le système SIEM externe. S"il ne faut pas enregistrer les fichiers de manière locale, ignorez les étapes de 4 à 7 de l'instruction de cette section.

Exécutez l'instruction ci-dessous sur chaque nœud du cluster à partir duquel vous voulez exporter les événements au format CEF.

Pour exporter les événements au format CEF :

  1. Connectez-vous à la console d'administration de la machine virtuelle Kaspersky Secure Mail Gateway sous le compte root en utilisant une clé privée SSH.

    Vous passerez en mode Technical Support Mode.

  2. Apportez les modifications suivantes au fichier avec les paramètres d'exportation des événements /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template :
    • Si vous voulez choisir une catégorie (facility) pour syslog dans laquelle seront exportés les événements, dans le groupe siemSettings, indiquez une des valeurs suivantes du paramètre facility :
      • Auth.
      • Authpriv.
      • Cron.
      • Daemon.
      • Ftp.
      • Lpr.
      • Mail.
      • News.
      • Syslog.
      • User.
      • Uucp.
      • Local0.
      • Local1.
      • Local2.
      • Local3.
      • Local4.
      • Local5.
      • Local6.
      • Local7.

      Il est recommandé d'indiquer une catégorie (facility) pour syslog qui n'est pas utilisée par d'autres applications sur le serveur.

      La valeur par défaut est local2.

    • Définissez la valeur du paramètre enabled sur true.
    • Définissez le niveau de détail de l'exportation en définissant une des valeurs suivantes du paramètre logLevel :
      • Error : exportation des événements liés aux erreurs.
      • Info : exportation de tous les événements.

        Exemple :

        "siemSettings" :

        {

        "enabled": true,

        "facility": "Local2",

        "logLevel": "Info",

        }

         

  3. Dans le fichier /etc/rsyslog.conf, modifiez la ligne

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

    sur

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<catégorie (facility) sélectionnée à l'étape 2>.none /var/log/messages

  4. Ajoutez la ligne suivante au fichier /etc/rsyslog.conf :

    <catégorie (facility), sélectionnée à l'étape 2>.* -/var/log/ksmg-cef-messages

  5. Créez un fichier /var/log/ksmg-cef-messages et configurez les droits d'accès. Pour ce faire, exécutez les commandes :

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  6. Configurez les règles de rotation des fichiers avec les événements exportés. Pour ce faire, ajoutez les lignes suivantes au fichier /etc/logrotate.d/ksmg-syslog :

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  7. Relancez le service rsyslog. Pour ce faire, exécutez la commande :

    service rsyslog restart

  8. Dans l'interface Internet de l'application, dans la section Paramètres Journaux et événements Événements, modifiez la valeur de n'importe quel paramètre, puis cliquez sur le bouton Enregistrer.

    Cela est nécessaire pour synchroniser les paramètres entre les nœuds de cluster et appliquer les modifications apportées au fichier de configuration. Après cela, vous pouvez retourner la valeur d'origine du paramètre modifié.

L'exportation des événements au format CEF sera configurée.

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.