テクニカルサポートモードでイベントの発行を設定するには、まず製品の Web インターフェイスで SSH の公開鍵をアップロードする必要があります。
SIEM システムにイベントを発行するクラスターの各ノードで、以下の手順に従います。CEF 形式でのイベントのエクスポートを有効にするのは、必ずイベントの発行を設定した後にしてください。
SIEM システムへの製品イベントの発行を設定するには:
Kaspersky Web Traffic Security が rpm または deb パッケージからインストールされた場合は、オペレーティングシステムのコマンドシェルを起動して、スーパーユーザー(システム管理者)権限でコマンドを実行します。
systemctl status rsyslog
サービスのステータスが running
である必要があります。
rsyslog サービスが実行されていないかインストールされていない場合は、オペレーティングシステムのマニュアルに従って rsyslog サービスをインストールし、有効にしてください。
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.*@@<SIEM システムの IP アドレス>:<SIEM システムが TCP プロトコル経由で Syslog からメッセージを受信するポート>
local5.* stop
例:
|
systemctl restart rsyslog
systemctl status rsyslog
ステータスが running
である必要があります。
logger -p local5.info テストメッセージ
SIEM システムへの製品イベントの発行が設定されます。
ページのトップに戻る