設定 CEF 格式的事件匯出

要在技術支援模式下啟用事件匯出,您必須先在應用程式 Web 介面中上傳 SSH 公開金鑰

您可以將包含匯出事件的檔案本機儲存在伺服器,並設定其發佈到外部 SIEM 系統。如果您不需要在本機儲存檔案,則可以跳過本節說明的第 4-7 步。

在您想要以 CEF 格式匯出事件的每個叢集節點上執行以下指令。

要設定 CEF 格式的事件匯出:

  1. 在 root 帳戶下使用 SSH 私密金鑰連線到 Kaspersky Secure Mail Gateway 虛擬機器管理主控台。

    您將進入技術支援模式。

  2. 對事件匯出設定檔 /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template 進行以下變更:
    • 如果要選擇將事件匯出到 Syslog 類别 (facility) ,請在 siemSettings 部分中為 facility 參數指定以下值之一:
      • Auth
      • Authpriv
      • Cron
      • Daemon
      • Ftp
      • Lpr
      • Mail
      • News
      • Syslog
      • User
      • Uucp
      • Local0
      • Local1
      • Local2
      • Local3
      • Local4
      • Local5
      • Local6
      • Local7

      建議為 Syslog 指定未被伺服器上其他程式使用的類别 (facility)。

      預設值為 local2

    • enabled 參數值設定為 true
    • logLevel 參數設定以下值之一來定義匯出詳細資訊級别:
      • 錯誤 – 匯出與錯誤相關的事件。
      • 資訊 – 匯出所有事件。

        範例:

        "siemSettings":

        {

        "enabled": true,

        "facility": "Local2",

        "logLevel": "Info",

        }

         
  3. 在 /etc/rsyslog.conf 檔案中,將字串

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

    變更為

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<在第 2 步選擇的設施>.none /var/log/messages

  4. 將以下字串新增到 /etc/rsyslog.conf 檔案中:

    <在第 2 步選擇的設施>.* -/var/log/ksmg-cef-messages

  5. 建立 /var/log/ksmg-cef-messages 檔案並設定其存取權限。為此,請執行以下指令:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  6. 設定包含匯出事件的檔案輪換規則。要執行此操作,請將以下字串新增到 /etc/logrotate.d/ksmg-syslog 檔案中:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  7. 重新啟動 rsyslog 服務。為此,執行以下指令:

    service rsyslog restart

  8. 在應用程式 Web 介面中的 設定日誌和事件事件 區域中,修改任意參數的值,然後點擊 儲存

    這對於在叢集節點之間同步參數以及套用對設定檔所做的變更是必需的。然後您可以復原已修改的參數原始值。

CEF 格式的事件匯出現已設定。

頁面頂端