Para reduzir a carga nos dispositivos de baixo desempenho e reduzir o risco de degradação do sistema como resultado do aumento do tamanho de logs do aplicativo, é possível configurar a publicação de eventos de auditoria e de desempenho de tarefa no servidor syslog por meio do protocolo Syslog.
Um servidor syslog é um servidor externo para eventos de agregação (SIEM). Ele armazena e analisa os eventos recebidos e executa outras ações de gerenciamento de logs.
É possível usar a integração SIEM de duas maneiras:
Recomenda-se usar este modo para reduzir o máximo possível a carga no dispositivo protegido.
O aplicativo nunca exclui versões locais do log de segurança.
O Kaspersky Embedded Systems Security for Windows pode converter eventos em logs de aplicativo em formatos compatíveis com o servidor syslog para que esses eventos possam ser transmitidos e reconhecidos com sucesso pelo servidor SIEM. O aplicativo é compatível com a conversão para um formato de dados estruturados e para o formato JSON.
Recomendamos selecionar o formato de eventos com base na configuração do servidor SIEM utilizado.
Configurações de confiabilidade
É possível reduzir o risco de retransmissão malsucedida de eventos ao servidor SIEM definindo as configurações para conectar ao servidor syslog de espelhamento.
Um servidor syslog de espelhamento adicional para o qual o aplicativo se alterna automaticamente se a conexão ao servidor principal syslog estiver indisponível ou se o servidor principal não puder ser utilizado.
O Kaspersky Embedded Systems Security for Windows também usa eventos de auditoria do sistema para notificar você sobre tentativas malsucedidas de conectar-se ao servidor SIEM e sobre erros ao enviar eventos ao servidor SIEM.
Início da página