Antes de activar la exportación de eventos en formato CEF, tiene que instalar el paquete de actualización siem_logging_fixes.zip en cada nodo del clúster de Kaspersky Web Traffic Security. Póngase en contacto con el Servicio de soporte técnico para obtener el paquete de actualización.
Para activar la exportación de eventos en el modo de soporte técnico, primero tiene que cargar la clave pública SSH en la interfaz web de la aplicación y configurar la publicación de eventos de la aplicación en el sistema SIEM.
Siga los pasos a continuación en cada nodo del clúster desde el que desea exportar eventos en formato CEF.
Para configurar la exportación de eventos en formato CEF:
Si Kaspersky Web Traffic Security se ha instalado desde un paquete RPM o DEB, inicie el shell de comandos del sistema operativo para ejecutar comandos con permisos de superusuario (administrador del sistema).
cp -p event_logger.json.template event_logger.json.template.backup
siemSettings (preste atención a la sintaxis y la estructura del archivo JSON):"enabled": true,
"facility": "Local5",
"logLevel": "Info",
Esto es necesario para sincronizar la configuración entre los nodos de clúster y aplicar los cambios realizados al archivo de configuración. A continuación, puede restaurar el valor anterior de la configuración que ha editado.
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
La respuesta debe contener la configuración con los valores especificados en el paso 3.
La exportación de eventos en formato CEF se ha configurado.
Si desea desactivar la exportación de eventos en formato CEF, siga los pasos de las instrucciones anteriores y, en el paso 3, establezca "enabled": false.