Ao configurar o período de armazenamento de eventos e selecionar os tipos de eventos a serem registrados, é necessário levar em conta a quantidade de espaço livre em disco nos servidores de processamento.
As configurações para registro em log de eventos não afetam as configurações de registro de eventos do Syslog.
Para definir as configurações de log de eventos:
Na janela da interface web do aplicativo, selecione a seção Configurações → Logs e eventos → Eventos.
Em Eventos de tráfego de e-mail, faça o seguinte:
Em Criar log de eventos de processamento de e-mail, selecione os eventos de processamento de tráfego que deseja registrar no log de eventos. É possível selecionar uma das seguintes opções:
A configuração selecionada é aplicada somente aos eventos registrados no log de eventos depois de aplicar as alterações. A nova configuração não se aplica a eventos que foram registrados anteriormente. A configuração selecionada é aplicada em todos os nodes do cluster.
Em Informações de log sobre verificação de links e partes MIME, selecione as informações que deseja registrar no Log de eventos com base nos resultados da Verificação de links e partes MIME pelos módulos Antivírus, Filtragem de conteúdo, Consultor de URLs e Antiphishing.
É possível selecionar uma das seguintes opções:
Apenas para mensagens cujas partes MIME acionaram módulos de verificação.
Os módulos de verificação são considerados acionados por um link se o link for atribuído a um dos seguintes status:
Módulo Antiphishing: Phishing, Erro.
Módulo de verificação de links: Detectado, Erro.
Os módulos de verificação são considerados acionados por uma parte MIME se pelo menos um dos seguintes eventos ocorreu como resultado da verificação:
O módulo Antivírus atribuiu qualquer status, exceto Não verificado, Não detectado, Erro de banco de dados à mensagem.
O módulo Antivírus detectou um documento que contém uma macro na mensagem.
O módulo Filtragem de conteúdo aplicou uma expressão de Filtragem de conteúdo à parte MIME.
Para todas as mensagens.
O log registra informações sobre a verificação de cada parte MIME e cada link de cada mensagem.
Por exemplo, 5 anexos sem ameaças ou outros objetos foram detectados na mensagem, assim como 10 links nos quais os módulos de verificação foram acionados. Se o valor Apenas para mensagens cujas partes MIME acionaram módulos de verificação for selecionado, somente as informações sobre os 10 links ameaçadores serão registrados no log de eventos. Se o valor Para todas as mensagens for selecionado, as informações sobre os 5 anexos e os 10 links serão registradas no log de eventos.
Se você quiser registrar os hashes de partes MIME de uma mensagem no log de eventos, ative o botão Hash de log de partes MIME e anexos. Se a opção estiver ativada, o valor hash será adicionado para cada parte MIME em log e anexo. O hash não é registrado em log para links.
Se você ativou o botão Hash de log de partes MIME e anexos, na lista suspensa Algoritmo de hash, selecione um valor: SHA256, MD5 ou SHA1.
No campo Tamanho máximo do log de eventos (MB), digite o tamanho do log de eventos que, ao ser alcançado, fará com que os registros anteriores sejam excluídos.
O valor padrão é de: 1024 MB. Valores possíveis: números inteiros de 100 a 2.147.483.647.
No campo Período de log (dias), digite o número de dias durante os quais o aplicativo deve armazenar os eventos de processamento de tráfego de rede no servidor.
Valor padrão: 3 dias. Valores possíveis: números inteiros de 1 a 8.589.934.592.
Em Eventos de aplicativo:
No campo Tamanho máximo do log de eventos (MB), digite o tamanho do log de eventos que, ao ser alcançado, fará com que os registros anteriores sejam excluídos.
O valor padrão é de: 1024 MB. Valores possíveis: números inteiros de 100 a 2.147.483.647.
No campo Período de log (dias), digite o número de dias durante os quais o aplicativo deve armazenar os eventos de aplicativo no servidor.
Valor padrão: 1100 dias.
Em Eventos de auditoria:
Em Nível de log de auditoria, selecione o nível de detalhe do Log de Auditoria. É possível selecionar uma das seguintes opções:
Não gerar logs de eventos de auditoria
Registrar logs de eventos de auditoria sem parâmetros modificados
Apenas eventos de auditoria serão registrados em log, sem informações sobre os parâmetros modificados e seus valores
Gerar logs de eventos de auditoria e parâmetros modificados
Eventos de auditoria e os antigos e novos valores dos parâmetros modificados serão registrados em log
O padrão é Registrar logs de eventos de auditoria sem parâmetros modificados.
Independentemente do valor Nível de log de auditoria, o KSMG registra os eventos de tentativa de autenticação no syslog com a categoria authpriv(10). Os eventos são registrados para tentativas bem-sucedidas e malsucedidas de efetuar login no aplicativo usando Kerberos, NTLM e autenticação de conta local. Se o registro de eventos de auditoria estiver ativado, a KSMG também gravará eventos de Log de auditoria no syslog com o recurso selecionado na seção Configurações →Logs e eventos →Syslog na guia Formato padrão.
No campo Tamanho máximo do log de eventos (MB), insira o tamanho limite do Log de Auditoria que, quando atingido, fará com que os registros anteriores sejam excluídos.
O valor padrão é de: 1024 MB. Valores possíveis: números inteiros de 100 a 2.147.483.647.
No campo Período de log (dias), insira o número de dias durante os quais o aplicativo deve armazenar eventos de auditoria no servidor.
Valor padrão: 1100 dias.
Se o registro do evento for extenso, esse será dividido em partes no log. No campo Tamanho máximo de uma parte de configurações modificada em CEF (caracteres), insira o tamanho máximo dessa parte em caracteres UTF-8. O valor mínimo é 4000. O valor padrão é 4000.