配置將應用程式事件發佈到 SIEM 系統

若要在技術支援模式下設定事件發布，您必須先在應用程式的 Web 介面中上傳 SSH SSH 公開金鑰。

在要從其將事件發佈到 SIEM 系統的叢集的每個節點上執行下列步驟。您應該僅在配置事件發布後啟用CEF 格式的事件匯出。

配置將應用程式事件發佈到 SIEM 系統：

1. 如果 Kaspersky Web Traffic Security 是從 iso 檔案安裝的，請使用 SSH 私鑰在 root 帳戶下連線到 Kaspersky Web Traffic Security 虛擬機的管理主控台。這將帶您進入技術支援模式。

   如果 Kaspersky Web Traffic Security 是透過 rpm 或 deb 軟體套件安裝的，請啟動作業系統的命令shell 以使用超級使用者（系統管理員）權限執行命令。

2. 事件被使用 rsyslog 系統日誌記錄服務傳送到外部SIEM 系統。若要確保服務已安裝並正在運行，請執行以下命令：

   systemctl status rsyslog

   服務的狀態必須是正在運作。

   如果 rsyslog 服務未運作或未安裝，請依照作業系統的文件安裝並啟用 rsyslog 服務。

3. 指定用於連接到具有 SIEM 系統的伺服器的位址和連接埠。為此，請建立 /etc/rsyslog.d/kwts-cef-messages.conf 檔案並在其中新增以下行：

   $ActionQueueFileName ForwardToSIEM5

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local5.*@@<SIEM系統的IP 位址>:<SIEM 系統透過TCP 協定從 Syslog 接收訊息的連接埠>

   local5.* stop

   示例： $ActionQueueFileName ForwardToSIEM5 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local5.* @@10.16.32.64:514 local5.* stop

4. 重啟 rsyslog 服務。為此，請執行指令：

   systemctl restart rsyslog

5. 使用以下命令檢查 rsyslog 服務的狀態：

   systemctl status rsyslog

   狀態必須是正在運作。

6. 向 SIEM 系統傳送測試訊息：

   logger -p local5.info 測試訊息

應用程式事件到 SIEM 系統的發布得到配置。

頁面頂端