Konfigurace publikování událostí aplikace do systému SIEM

Chcete-li nakonfigurovat publikování událostí v režimu technické podpory, musíte nejprve do webového rozhraní aplikace nahrát veřejný klíč SSH.

Před zahájením konfigurace se ujistěte, že máte povolen export událostí ve formátu CEF.

U každého uzlu clusteru, jehož události chcete exportovat do systému SIEM, proveďte níže uvedené pokyny.

Postup konfigurace publikování událostí aplikace do systému SIEM:

1. Připojte se ke konzole pro správu virtuálního počítače Kaspersky Secure Mail Gateway pod účtem root pomocí soukromého klíče SSH.

   Vstoupíte do režimu technické podpory.

2. Zadejte adresu a port pro připojení k serveru hostujícímu systém SIEM. Chcete-li tak učinit, přidejte na konec souboru /etc/rsyslog.conf následující řádky:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <kategorie (facility)>.* @@<IP adresa systému SIEM>:<port používaný systémem SIEM pro příjem zpráv z programu Syslog přes TCP>

   Před provedením jakýchkoli změn v souboru /etc/rsyslog.conf se doporučuje vytvořit záložní kopii. Chyba při úpravě souboru může způsobit nesprávné fungování systému.

3. Restartujte službu rsyslog. To provedete následujícím příkazem:

   service rsyslog restart

Je nakonfigurováno publikování událostí aplikace do systému SIEM.

Na začátek stránky