Konfigurace exportu událostí ve formátu CEF

Chcete-li povolit export událostí v režimu technické podpory, musíte nejprve do webového rozhraní aplikace nahrát veřejný klíč SSH.

Soubory obsahující exportované události můžete uložit lokálně na server a nakonfigurovat jejich publikování do externího systému SIEM. Pokud nepotřebujete ukládat soubory lokálně, můžete přeskočit kroky 4–7 pokynů v této části.

U každého uzlu clusteru, jehož události chcete exportovat ve formátu CEF, proveďte níže uvedené pokyny.

Postup konfigurace exportu událostí ve formátu CEF:

  1. Připojte se ke konzole pro správu virtuálního počítače Kaspersky Secure Mail Gateway pod účtem root pomocí soukromého klíče SSH.

    Vstoupíte do režimu technické podpory.

  2. Proveďte následující změny v konfiguračním souboru exportu událostí /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
    • Pokud chcete vybrat kategorii Syslog (facility), do které se budou události exportovat, zadejte jednu z následujících hodnot pro parametr facility v části siemSettings:
      • Auth
      • Authpriv
      • Cron
      • Daemon
      • FTP
      • Lpr
      • Mail
      • News
      • Syslog
      • User
      • Uucp
      • Local0
      • Local1
      • Local2
      • Local3
      • Local4
      • Local5
      • Local6
      • Local7

      Doporučuje se pro Syslog zadat kategorii (facility), kterou nepoužívají jiné programy na serveru.

      Výchozí hodnota je local2.

    • Nastavte hodnotu parametru enabled na true.
    • Definujte úroveň podrobností exportu nastavením jedné z následujících hodnot pro parametr logLevel:
      • Error – export událostí souvisejících s chybami.
      • Info – export všech událostí.

        Příklad:

        "siemSettings":

        {

        "enabled": true,

        "facility": "Local2",

        "logLevel": "Info",

        }

         
  3. V souboru /etc/rsyslog.conf změňte řetězec

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

    na

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<kategorie (facility) vybraná v kroku 2>.none /var/log/messages

  4. Přidejte následující řetězec do souboru /etc/rsyslog.conf:

    <kategorie (facility) vybraná v kroku 2>.* -/var/log/ksmg-cef-messages

  5. Vytvořte soubor /var/log/ksmg-cef-messages a nakonfigurujte k němu přístupová práva. Chcete-li tak učinit, spusťte příkazy:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  6. Nakonfigurujte pravidla pro rotaci souborů obsahujících exportované události. Chcete-li tak učinit, přidejte do souboru /etc/logrotate.d/ksmg-syslog následující řetězce:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  7. Restartujte službu rsyslog. To provedete následujícím příkazem:

    service rsyslog restart

  8. Ve webovém rozhraní aplikace v části NastaveníProtokoly a událostiUdálosti upravte hodnotu libovolného parametru a klikněte na Uložit.

    To je nezbytné pro synchronizaci parametrů mezi uzly clusteru a pro použití změn, které byly provedeny v konfiguračním souboru. Poté můžete obnovit původní hodnotu upraveného parametru.

Export událostí ve formátu CEF je nyní nakonfigurován.

Na začátek stránky