Support

Solutions pour les entreprises

Kaspersky Security 11.x for Windows Server

Enregistrement des événements. Journaux de Kaspersky Security for Windows Server

Configuration des paramètres de journal dans le Plug-in d'administration

A propos de l'intégration à SIEM

Kaspersky Security 11.x for Windows Server
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Télécharger Acheter Renouveler Forum Contacter le support Outils de désinfection

A propos de l'intégration à SIEM

10 juin 2022

ID 148502

Enregistrer au format PDF

Pour diminuer la charge sur les appareils de faible puissance et réduire le risque de dégradation du système suite à l'augmentation des tailles des journaux de l'application, vous pouvez configurer la publication des événements de l'audit et des événements des tâches exécutées via le protocole syslog sur le serveur syslog.

Un serveur syslog est un serveur externe qui sert à la collecte des événements (SIEM). Il stocke et analyse les événements reçu et exécute d'autres actions de gestion de journaux.

Vous pouvez utiliser deux modes d'intégration à SIEM :

  • Doubler les événements sur le serveur syslog : dans ce mode, tous les événements d'exécution des tâches dont la publication est configurée dans les paramètres des journaux, ainsi que tous les événements de l'audit système, continuent d'être conservés sur l'appareil protégé même après avoir été envoyés au serveur SIEM.

    Nous conseillons l'utilisation de ce mode pour réduire autant que possible la charge sur l'appareil protégé.

  • Supprimer les copies locales des événements : dans ce mode, tous les événements enregistrés au cours du fonctionnement de l'application et publiés dans le serveur SIEM soient supprimés de l'appareil protégé.

    L'application ne supprime jamais les versions locales des Journaux de sécurité.

Kaspersky Security for Windows Server peut convertir les événements dans les journaux de l'application aux formats pris en charge par le serveur syslog afin que ces événements puissent être transmis et reconnus par le serveur SIEM. L'application prend en charge la conversion au format de données structurées et au format JSON.

Il est recommandé de choisir le format des événements d'après la configuration du serveur SIEM utilisé.

Paramètres de fiabilité

Vous pouvez réduire le risque d'erreur d'envoi des événements au serveur SIEM en indiquant les paramètres de connexion au serveur syslog de miroir.

Le serveur syslog de miroir est un serveur syslog complémentaire vers lequel l'application passe automatiquement si la connexion au serveur principal syslog ou son utilisation sont impossibles.

Kaspersky Security for Windows Server utilise également les événements de l'audit système pour vous signaler les tentatives ratées de connexion au serveur SIEM ainsi que les erreurs survenues lors de l'envoi des événements au serveur SIEM.

Kaspersky Security for Windows Server. Développé spécifiquement pour les serveurs d'entreprise haute performance
Protection avancée des serveurs et des ressources de stockage. Gestion simple et flexible. Achetez avec Endpoint Security for Business Advanced.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.