Configuration de l'exportation des événements au format CEF
26 avril 2024
ID 151533
Pour inclure l'exportation des événements dans le mode Technical Support Mode, il faut d'abord télécharger une clé publique SSH dans l'interface Internet de l'application.
Vous pouvez enregistrer les fichiers avec les événements exportés sur le serveur de manière locale, ainsi que de configurer leur publication sur le système SIEM externe. S"il ne faut pas enregistrer les fichiers de manière locale, ignorez les étapes de 4 à 7 de l'instruction de cette section.
Exécutez l'instruction ci-dessous sur chaque nœud du cluster à partir duquel vous voulez exporter les événements au format CEF.
Pour exporter les événements au format CEF :
- Connectez-vous à la console d'administration de la machine virtuelle Kaspersky Secure Mail Gateway sous le compte root en utilisant une clé privée SSH.
Vous passerez en mode Technical Support Mode.
- Apportez les modifications suivantes au fichier avec les paramètres d'exportation des événements /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template :
- Si vous voulez choisir une catégorie (facility) pour syslog dans laquelle seront exportés les événements, dans le groupe
siemSettings
, indiquez une des valeurs suivantes du paramètrefacility
:Auth
.Authpriv
.Cron
.Daemon
.Ftp
.Lpr
.Mail
.News
.Syslog
.User
.Uucp
.Local0
.Local1
.Local2
.Local3
.Local4
.Local5
.Local6
.Local7
.
Il est recommandé d'indiquer une catégorie (facility) pour syslog qui n'est pas utilisée par d'autres applications sur le serveur.
La valeur par défaut est
local2
. - Définissez la valeur du paramètre
enabled
surtrue
. - Définissez le niveau de détail de l'exportation en définissant une des valeurs suivantes du paramètre
logLevel
:Error
: exportation des événements liés aux erreurs.Info
: exportation de tous les événements.Exemple :
"siemSettings" :
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
}
- Si vous voulez choisir une catégorie (facility) pour syslog dans laquelle seront exportés les événements, dans le groupe
- Dans le fichier /etc/rsyslog.conf, modifiez la ligne
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
sur
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<catégorie (facility) sélectionnée à l'étape 2>.none /var/log/messages
- Ajoutez la ligne suivante au fichier /etc/rsyslog.conf :
<catégorie (facility), sélectionnée à l'étape 2>.* -/var/log/ksmg-cef-messages
- Créez un fichier /var/log/ksmg-cef-messages et configurez les droits d'accès. Pour ce faire, exécutez les commandes :
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Configurez les règles de rotation des fichiers avec les événements exportés. Pour ce faire, ajoutez les lignes suivantes au fichier /etc/logrotate.d/ksmg-syslog :
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Relancez le service rsyslog. Pour ce faire, exécutez la commande :
service rsyslog restart
- Dans l'interface Internet de l'application, dans la section Paramètres → Journaux et événements → Événements, modifiez la valeur de n'importe quel paramètre, puis cliquez sur le bouton Enregistrer.
Cela est nécessaire pour synchroniser les paramètres entre les nœuds de cluster et appliquer les modifications apportées au fichier de configuration. Après cela, vous pouvez retourner la valeur d'origine du paramètre modifié.
L'exportation des événements au format CEF sera configurée.