В этом разделе рассматривается порядок настройки LogRhythm для пересылки журналов в Kaspersky CyberTrace. Настройка LogRhythm включает добавление приемника журналов и добавление политики рассылки журналов.
Добавление приемника журналов
Создайте новый приемник журналов в LogRhythm. Этот приемник журналов будет представлять Kaspersky CyberTrace.
Чтобы добавить приемник журналов в LogRhythm, выполните следующие действия:
Откроется окно Log Distribution Receiver Manager.
InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service).InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service).Добавление политики рассылки журналов
После добавления приемника журналов задайте условия путем добавления политики рассылки журналов для событий, которые будут пересылаться в Kaspersky CyberTrace.
Чтобы добавить политику рассылки журналов, выполните следующие действия:
Запустится мастер Log Distribution Policy Wizard. Пройдите следующие шаги мастера, нажимая на кнопку Next.
Окно Select Log Sources
Убедитесь, что Kaspersky CyberTrace не выбран в качестве источника журналов для пересылки, поскольку это привело бы к зацикливанию событий. По той же причине не следует выбирать All available Log Sources на предыдущем шаге.
Дополнительные сведения об определении этих фильтров приведены в документации LogRhythm.
Рекомендуется не указывать эти фильтры.
Нажмите на кнопку Yes.
Подтверждение пересылки всех журналов без применения фильтров
Kaspersky CyberTrace
.Окно Select Distribution Receivers
Окно Define Syslog Sender Override Settings
Окно Additional Information
Щелкните правой кнопкой мыши по новой строке в таблице и выберите пункт контекстного меню Enabled.
Сервер, на котором установлено приложение Kaspersky CyberTrace, начнет получать журналы. Это можно проверить с помощью утилиты netcat.
Отображение событий обнаруженных киберугроз в LogRhythm
В результате вышеуказанных действий LogRhythm начнет получать и отображать события обнаруженных киберугроз. События также будут отображаться в веб-консоли, доступной по адресу https://<logrhythmIP>:8443
или https://<logrhythmIP>:80
.