配置 CEF 格式的事件匯出

在啟用 CEF 格式的事件匯出之前，您必須在Kaspersky Web Traffic Security 叢集的每個節點上安裝 siem_logging_fixes.zip 更新套件。請聯絡技術支援獲取更新套件。

若要在技術支援模式下啟用事件匯出，您必須先在應用程式的 Web 介面中上傳 SSH 公開金鑰，並設定將應用程式事件發佈到 SIEM 系統。

在要從其將事件以 CEF 格式匯出的叢集的每個節點上執行下列步驟。

若要配置 CEF 格式的事件匯出：

1. 如果 Kaspersky Web Traffic Security 是從 iso 檔案安裝的，請使用 SSH 私鑰在 root 帳戶下連線到 Kaspersky Web Traffic Security 虛擬機的管理主控台。這將帶您進入技術支援模式。

   如果 Kaspersky Web Traffic Security 是透過 rpm 或 deb 軟體套件安裝的，請啟動作業系統的命令shell 以使用超級使用者（系統管理員）權限執行命令。

2. 前往/opt/kaspersky/kwts/share/templates/core_settings 目錄並建立event_logger.json.template 檔案的備份副本：

   cp -p event_logger.json.template event_logger.json.template.backup

3. 開啟 event_logger.json.template 檔案進行編輯，並在siemSettings部分中指定以下設定（確保遵守 JSON 檔案的語法和結構）：

   "enabled": true,

   "facility": "Local5",

   "logLevel": "Info",

4. 在應用程式的 Web 介面中，設定 →記錄和事件部分，編輯任何設定的值，然後按一下儲存。

   這是同步叢集節點之間的設定以及套用對設定檔所做的變更所必需的。然後，您可以恢復先前編輯的設定值。

5. 確保變更已套用：

   /opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings

   回應必須包含帶有步驟 3 中指定的值的設定。

以 CEF 格式匯出事件已配置。

如果要停用 CEF 格式的事件匯出，請按照上面的說明進行操作，並在步驟3 中設定"enabled": false 。

頁面頂端