Configuration des paramètres du journal des événements

Lors de la configuration de la durée de stockage des événements et de la sélection des types d'événements à enregistrer, il convient de tenir compte de l'espace disque disponible sur les serveurs de traitement.

Les paramètres d'enregistrement des événements dans le journal des événements n'influencent pas les paramètres d'enregistrement des événements selon le protocole Syslog.

Pour configurer les paramètres d'enregistrement dans le journal des événements :

Dans la fenêtre de l'interface Internet de l'application, choisissez la section Paramètres → Journaux et événements → Événements.
Dans le groupe Événements de trafic de messagerie, procédez comme suit :
1. Dans le groupe des paramètres Enregistrer les événements de traitement du trafic, choisissez les événements du traitement du trafic qui doivent être enregistrés dans le journal des événements. Vous pouvez choisir une des options suivantes :
  - Tout.
  - L'action Supprimer le message/Supprimer la pièce jointe/Refuser a été appliquée.
  - Ne pas consigner.
  La valeur Tout est sélectionnée par défaut.
  
  Le paramètre sélectionné s'applique uniquement aux événements enregistrés dans le journal des événements après l'application des modifications. Pour les événements précédemment enregistrés, la nouvelle valeur du paramètre ne s'applique pas.
  La valeur du paramètre sélectionné est appliquée à tous les nœuds du cluster.
2. Dans le bloc de paramètres Enregistrer des informations sur la vérification des liens et des parties MIME, sélectionnez les données qui doivent être enregistrées dans le journal des événements en fonction des résultats de l'analyse des liens et des parties MIME par les modules Antivirus, Filtrage du contenu, Analyse des liens et Anti-Phishing.
  Vous pouvez choisir une des options suivantes :
  - Uniquement pour les messages dont les modules d'analyse ont été déclenchés sur les parties MIME.
    Le journal enregistrera des données sur la vérification de chaque partie MIME de tous les messages et de chaque lien dans lequel les modules d'analyse ont été déclenchés.
    On considère que les modules d'analyse ont fonctionné sur le lien si, à la suite de l'analyse, l'un des états suivants lui est attribué :
    - Module Anti-Phishing : Phishing, Erreur.
    - Module Analyse des liens : Détecté, Erreur.
    Les modules d'analyse sont considérés comme ayant fonctionné sur la partie MIME si au moins un des événements suivants s'est produit à la suite de l'analyse :
    - Le module Anti-Virus a attribué au message n'importe quel état, sauf Non analysé, Non détecté, Erreur dans les bases.
    - Le moduleAnti-Virus a détecté un document contenant une macro dans le message.
    - Le module Filtrage du contenu a appliqué une expression du Filtrage du contenu à la partie MIME.
  - Pour tous les messages.
    Le journal enregistrera l'analyse de chaque partie MIME et de chaque lien de tous les messages.
  Par exemple, un message a trouvé 5 pièces jointes sans menaces ni autres objets, et 10 liens déclenchés par les modules d'analyse. Si la valeur Uniquement pour les messages dont les modules d'analyse ont été déclenchés sur les parties MIME est sélectionnée, seules les informations sur 10 liens seront enregistrées dans le journal des événements. Si la valeur Pour tous les messages est sélectionnée, le journal des événements enregistrera des informations sur 5 pièces jointes et 10 liens.
3. Si vous souhaitez écrire un hachage des parties MIME du message dans le journal des événements, activez le commutateur Enregistrer le hachage des pièces et pièces jointes MIME. Si l'option est activée, un hachage sera ajouté pour chaque partie MIME et pièce jointe enregistrée dans le journal. Pour les liens, le hachage n'est pas enregistré.
4. Si vous avez activez le commutateur Enregistrer le hachage des pièces et pièces jointes MIME, dans la liste déroulante Algorithme de hachage, sélectionnez la valeur : SHA256, MD5 ou SHA1.
5. Dans le champ Taille maximale du journal des événements (Mo), indiquez la taille maximale du journal des événements. Si cette taille est dépassée, les plus anciens enregistrements seront supprimés.
  La valeur par défaut est : 1024 Mo. Les valeurs possibles sont des nombres entiers compris entre 100 et 2 147 483 647.
6. Dans le champ Durée de conservation des événements dans le journal (jours), indiquez le nombre de jours pendant lesquels l'application doit conserver les événements de traitement du trafic réseau sur le serveur.
  La valeur par défaut est de 3 jours. Les valeurs possibles sont des nombres entiers de 1 à 8 589 934 592.
Dans le groupe Événements de l'application, procédez comme suit :
1. Dans le champ Taille maximale du journal des événements (Mo), indiquez la taille maximale du journal des événements. Si cette taille est dépassée, les plus anciens enregistrements seront supprimés.
  La valeur par défaut est : 1024 Mo. Les valeurs possibles sont des nombres entiers compris entre 100 et 2 147 483 647.
2. Dans le champ Durée de conservation des événements dans le journal (jours), indiquez le nombre de jours pendant lesquels l'application doit conserver les événements de l'application sur le serveur.
  Valeur par défaut : 1100 jours.
Dans le groupe Événements d'audit, procédez comme suit :
1. Dans le groupe de paramètres Niveau de journalisation des événements d'audit, sélectionnez les détails de l'enregistrement des événements d'audit dans le journal des événements. Vous pouvez choisir une des options suivantes :
  - Ne pas enregistrer les événements d'audit.
  - Enregistrer les événements d'audit sans informations sur les paramètres modifiés.
    Seuls les événements d'audit seront enregistrés, sans informations sur les paramètres modifiés et leurs valeurs.
  - Enregistrer les événements d'audit et les paramètres modifiés.
    Les événements d'audit seront enregistrés, ainsi que les valeurs précédentes et les nouvelles valeurs des paramètres modifiés.
  Valeur par défaut : Enregistrer les événements d'audit sans informations sur les paramètres modifiés.
  
  Quelle que soit la valeur du paramètre Niveau de journalisation des événements d'audit, KSMG écrit les événements de tentative d'authentification dans le journal syslog avec la catégorie authpriv(10). Les événements de tentatives réussies et infructueuses de connexion à l'application avec authentification à l'aide des protocoles Kerberos, NTLM et de compte local sont enregistrés.
  Si l'enregistrement d'audit des événements est activée, KSMG enregistrera également les événements du journal d'audit dans le journal syslog avec la catégorie sélectionnée dans la section Paramètres → Journaux et événements → Syslog sous l'onglet Format standard.
2. Dans le champ Taille maximale du journal des événements (Mo), indiquez la taille maximale du journal des événements d'audit. Si cette taille est dépassée, les plus anciens enregistrements seront supprimés.
  La valeur par défaut est : 1024 Mo. Les valeurs possibles sont des nombres entiers compris entre 100 et 2 147 483 647.
3. Dans le champ Durée de conservation des événements dans le journal (jours), indiquez le nombre de jours pendant lesquels l'application doit conserver les événements d'audit sur le serveur.
  Valeur par défaut : 1100 jours.
4. Si un enregistrement d'événement est long, l'enregistrement du journal des événements est divisée en plusieurs parties. Dans le champ Taille maximale de la pièce avec paramètres modifiés au format CEF (caractères), spécifiez la taille maximale de cette partie de l'enregistrement en caractères UTF-8. La valeur minimale est 4 000, la valeur par défaut est 4 000.
Cliquez sur le bouton Enregistrer.

Les paramètres d'enregistrement des événements dans le journal des événements seront configurés.

Haut de page