Antes de ativar a exportação de eventos no formato CEF, você deve instalar o pacote de atualização siem_logging_fixes.zip em cada node do cluster do Kaspersky Web Traffic Security . Contate o Suporte Técnico para obter o pacote de atualização.
Para ativar a exportação de eventos no Modo de Suporte Técnico, você deve primeiro carregar a chave pública SSH na interface da Web do aplicativo e configurar a publicação de eventos do aplicativo no sistema SIEM.
Siga as etapas abaixo em cada node do cluster do qual você deseja exportar eventos no formato CEF.
Para configurar a exportação de eventos no formato CEF:
Se o Kaspersky Web Traffic Security tiver sido instalado de um pacote RPM ou DEB, inicie o shell de comando do sistema operacional para executar comandos com permissões de superusuário (administrador do sistema).
cp -p event_logger.json.template event_logger.json.template.backup
siemSettings (certifique-se de observar a sintaxe e a estrutura do arquivo JSON):"enabled": true,
"facility": "Local5",
"logLevel": "Info",
Isso é necessário para sincronizar as configurações entre os nodes do cluster e aplicar as alterações feitas no arquivo de configuração. Você pode então restaurar o valor anterior da configuração editada.
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
A resposta deve conter as configurações com os valores especificados na etapa 3.
A exportação de eventos no formato CEF está configurada.
Se você quiser desativar a exportação de eventos no formato CEF, siga as etapas das instruções acima e, na etapa 3, defina "enabled": false.