Настройка экспорта событий в формате CEF

Включать экспорт сообщений в формате CEF можно только после того, как была настроена служба системного журнала для локального сохранения CEF-сообщений или их публикации в SIEM-систему.

Чтобы настроить экспорт событий в формате CEF:

  1. В окне веб-интерфейса приложения выберите раздел Параметры → Журналы и события → Syslog.
  2. На вкладке Формат CEF включите переключатель Включить журналирование событий в формате CEF.
  3. Если вы хотите выбрать категорию (facility) для syslog, в которую будут экспортироваться события, в раскрывающемся списке Категория Syslog (facility) выберите одно из следующих значений:
    • Auth.
    • Authpriv.
    • Cron.
    • Daemon.
    • Ftp.
    • Lpr.
    • Mail.
    • News.
    • Syslog.
    • User.
    • Uucp.
    • Local0.
    • Local1.
    • Local2.
    • Local3.
    • Local4.
    • Local5.
    • Local6.
    • Local7.

    Рекомендуется указать такую категорию для syslog, которую не используют другие программы на сервере.

    По умолчанию установлено значение Local2.

  4. В поле Уровень событий установите уровень детализации экспорта:
    • Error – экспорт событий, связанных с возникновением ошибок.
    • Info – экспорт всех событий.

Экспорт событий в формате CEF будет настроен.

В начало