Configurando a exportação de eventos em formato CEF

Para ativar a exportação de eventos no modo suporte técnico, primeiramente é necessário carregar a chave SSH pública na interface web do aplicativo.

É possível salvar os arquivos contendo os eventos exportados localmente no servidor e configurar a publicação em um sistema SIEM externo. Caso seja necessário salvar os arquivos localmente, é possível ignorar as etapas 4 a 7 das instruções desta seção.

Execute as instruções abaixo em cada node do cluster cujos eventos deseja exportar no formato CEF.

Para configurar a exportação de eventos no formato CEF:

1. Conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Secure Mail Gateway na conta raiz, usando uma chave SSH privada.

   Você entrará no modo suporte técnico.

2. Faça as seguintes alterações no arquivo de configuração de exportação de evento /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
   • Se quiser selecionar a categoria Syslog (recurso) para a qual os eventos serão exportados, especifique um dos seguintes valores para o parâmetro recurso na seção siemSettings:
     • Auth
     • Authpriv
     • Cron
     • Daemon
     • Ftp
     • Lpr
     • Mail
     • News
     • Syslog
     • User
     • Uucp
     • Local0
     • Local1
     • Local2
     • Local3
     • Local4
     • Local5
     • Local6
     • Local7

     Recomenda-se especificar uma categoria (recurso) para o Syslog que não seja usado por outros programas no servidor.

     O valor padrão é local2.

   • Defina o valor do parâmetro enabled como true.
   • Defina o nível de detalhe da exportação configurando um dos seguintes valores para o parâmetro logLevel:
     • Error – exporta eventos relacionados a erros.
     • Info – exportar todos os eventos.

       Exemplo: "siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info", }

3. No arquivo /etc/rsyslog.conf, altere a string

   *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

   para

   *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages

4. Adicione a seguinte string ao arquivo /etc/rsyslog.conf:

   <recurso selecionado na etapa 2>. * - / var / log / ksmg-cef-messages

5. Cria o arquivo /var/log/ksmg-cef-messages e configure os direitos de acesso. Para fazer isso, execute os comandos:

   toque em /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

6. Configure as regras arquivos em rotatividade contendo eventos exportados. Para fazer isso, adicione as seguintes strings ao arquivo /etc/logrotate.d/ksmg-syslog:

   /var/log/ksmg-cef-messages

   {

   size 500M

   rotate 10

   notifempty

   sharedscripts

   postrotate

   /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

   endscript

   }

7. Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:

   o serviço rsyslog é reiniciado

8. Na interface web do aplicativo, em Configurações → Logs e eventos → Eventos, modifique o valor de qualquer parâmetro e clique em Salvar.

   Isso é necessário para a sincronização de parâmetros entre os nodes do cluster e para a aplicação das alterações feitas no arquivo de configuração. Então, será possível restaurar o valor original de um parâmetro modificado.

A exportação de eventos no formato CEF está configurada agora.

Topo da página