配置将应用程序事件发布到 SIEM 系统

要在技术支持模式下配置事件发布,您必须先在应用程序 Web 界面中上传 SSH 公钥

在开始配置之前,确保您已启用 CEF 格式的事件导出

在您想要将事件发布到 SIEM 系统的每个集群节点上执行以下指令。

要配置将应用程序事件发布到 SIEM 系统:

  1. 在 root 账户下使用 SSH 私钥连接到 Kaspersky Secure Mail Gateway 虚拟机管理控制台。

    您将进入技术支持模式。

  2. 指定用于连接到承载 SIEM 系统的服务器的地址和端口。为此,请将以下几行添加到 /etc/rsyslog.conf 文件的末尾:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    <category (facility)>.* @@<IP address of the SIEM system>:<port used by the SIEM system to receive messages from Syslog over TCP>

    在对 /etc/rsyslog.conf 文件进行任何更改之前,建议您生成备份副本。编辑文件时出错可能会导致系统运行不正确。

  3. 重新启动 rsyslog 服务。为此,请运行以下命令:

    service rsyslog restart

将配置向 SIEM 系统发布应用程序事件。

页面顶部