目录
将应用程序事件发布到 SIEM 系统
Kaspersky Web Traffic Security 可以使用 Syslog 协议将应用程序运行期间发生的事件发布到您的组织已在使用的。
有关每个应用程序事件的信息以 CEF 格式(“CEF 消息”)作为单独的系统日志消息进行传输。
事件发生后会立即发送包含事件信息的 CEF 消息。
默认情况下,应用程序中的 CEF 消息导出被禁用。您可以配置向 SIEM 系统发布事件,然后启用事件导出。
配置将应用程序事件发布到 SIEM 系统
要在技术支持模式下配置事件发布,您必须首先在应用程序的 Web 界面中上传 SSH 公钥。
在要从其将事件发布到 SIEM 系统的集群的每个节点上执行以下步骤。您应该仅在配置事件发布后启用CEF 格式的事件导出。
配置将应用程序事件发布到 SIEM 系统:
- 如果 Kaspersky Web Traffic Security 是从 iso 文件安装的,请使用 SSH 私钥在 root 帐户下连接到 Kaspersky Web Traffic Security 虚拟机的管理控制台。这将带您进入技术支持模式。
如果 Kaspersky Web Traffic Security 是通过 rpm 或 deb 软件包安装的,请启动操作系统的命令 shell 以使用超级用户(系统管理员)权限运行命令。
- 事件被使用 rsyslog 系统日志记录服务发送到外部 SIEM 系统。要确保该服务已安装并正在运行,请运行以下命令:
systemctl status rsyslog服务的状态必须是
正在运行。如果 rsyslog 服务未运行或未安装,请根据操作系统的文档安装并启用 rsyslog 服务。
- 指定用于连接到带有 SIEM 系统的服务器的地址和端口。为此,请创建 /etc/rsyslog.d/kwts-cef-messages.conf 文件并向其中添加以下行:
$ActionQueueFileName ForwardToSIEM5$ActionQueueMaxDiskSpace 1g$ActionQueueSaveOnShutdown on$ActionQueueType LinkedList$ActionResumeRetryCount -1local5.*@@<SIEM系统的 IP 地址>:<SIEM 系统通过 TCP 协议从 Syslog 接收消息的端口>local5.* stop示例:
$ActionQueueFileName ForwardToSIEM5$ActionQueueMaxDiskSpace 1g$ActionQueueSaveOnShutdown on$ActionQueueType LinkedList$ActionResumeRetryCount -1local5.* @@10.16.32.64:514local5.* stop - 重启 rsyslog 服务。为此,请执行命令:
systemctl restart rsyslog - 使用以下命令检查 rsyslog 服务的状态:
systemctl status rsyslog状态必须是
正在运行。 - 向 SIEM 系统发送测试消息:
logger -p local5.info 测试消息
应用程序事件到 SIEM 系统的发布得到配置。
页面顶端配置 CEF 格式的事件导出
在启用 CEF 格式的事件导出之前,您必须在Kaspersky Web Traffic Security 集群的每个节点上安装 siem_logging_fixes.zip 更新包。请联系技术支持获取更新包。
要在技术支持模式下启用事件导出,您必须首先在应用程序的 Web 界面中上传 SSH 公钥,并配置将应用程序事件发布到 SIEM 系统。
在要从其将事件以 CEF 格式导出的集群的每个节点上执行以下步骤。
要配置 CEF 格式的事件导出:
- 如果 Kaspersky Web Traffic Security 是从 iso 文件安装的,请使用 SSH 私钥在 root 帐户下连接到 Kaspersky Web Traffic Security 虚拟机的管理控制台。这将带您进入技术支持模式。
如果 Kaspersky Web Traffic Security 是通过 rpm 或 deb 软件包安装的,请启动操作系统的命令 shell 以使用超级用户(系统管理员)权限运行命令。
- 转至 /opt/kaspersky/kwts/share/templates/core_settings 目录并创建 event_logger.json.template 文件的备份副本:
cp -p event_logger.json.template event_logger.json.template.backup - 打开 event_logger.json.template 文件进行编辑,并在
siemSettings部分中指定以下设置(确保遵守 JSON 文件的语法和结构):"enabled": true,"facility": "Local5","logLevel": "Info", - 在应用程序的 Web 界面中,设置 →日志和事件部分,编辑任何设置的值,然后单击保存。
这是同步集群节点之间的设置以及应用对配置文件所做的更改所必需的。然后,您可以恢复先前编辑的设置值。
- 确保更改已应用:
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings响应必须包含带有步骤 3 中指定的值的设置。
以 CEF 格式导出事件得到配置。
如果要禁用 CEF 格式的事件导出,请按照上面的说明进行操作,并在步骤 3 中设置"enabled": false。
CEF 格式的系统日志消息的内容和属性
有关每个检测到的事件的信息在事件发生后立即以 UTF-8 编码的 CEF 格式作为单独的系统日志消息发送。
CEF 消息由消息正文和标题组成。
CEF 消息标头由以下部分组成:
- Syslog 前缀:
<事件日期和时间><发生事件的主机的名称>。 - 一个由“|”字符分隔开并用空格与 syslog 前缀分隔开的字段序列。所有字段都需要。
- 格式版本。目前,版本号为 0,因此该字段看起来像“CEF:0”。
- 供应商。该字段的值为
AO Kaspersky Lab。 - 应用程序名称。该字段的值为
Kaspersky Web Traffic Security。 - 产品版本。该字段的值是产品的当前版本 (
6.1.0.xxxx)。 - 事件类别。
- 事件名称。
- 严重级别。可以是
低、中或高。示例:
2021 年 10 月 30 日 10:34:23host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
有关事件的 syslog 消息的字段,由应用程序选项定义,具有 <密钥>="<值>”格式。如果密钥具有多个值,则这些值将用逗号分隔。冒号用作密钥之间的分隔符。
消息中包含的密钥及其值取决于事件的类别。
有关检测到的事件的系统日志消息的最大大小取决于安装 Kaspersky Web Traffic Security 的服务器上的系统日志设置值。您只能将系统日志消息配置到单个外部系统日志服务器。
CEF 消息中的字符编码规则:
- 空格不需要转义。
- 在标题中,竖线字符(“|”)用作分隔符。如果需要在一个标头字段中使用此字符,必须使用反斜杠(“\|”)对其进行转义。在消息正文中,不需要转义“|”字符。
- 消息标头或消息正文中不允许使用单个反斜杠。如果需要在标头字段中使用它,请复制字符(“\\”)。
- 在消息正文中,“=”字符用作“key-value”对的分隔符。如果需要在一个邮件正文字段中使用此字符,必须使用反斜杠 (“\=”) 将其转义。在标头中,“=”字符不需要转义。
- 多行值仅适用于键/值对中的值。要指示换行,请使用“\n”或“\r”字符。
设置组的事件类别
在设置组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
设置组事件类别字段的允许值
密钥 |
值 |
|---|---|
cn1 |
任务编号。 |
cn1Label |
该值始终是 |
cs1 |
任务名称。 |
cs1Label |
该值始终为 |
act |
对设置采取的操作。该值总是在 |
设置组的每个事件类别只能包含与其相关的密钥(请参见下表)。
设置组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_SETTINGS_CHANGED |
cn1、cn1Label、cs1、cs1Label、act |
任务组的事件类别
在设置组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
任务组事件类别字段的允许值
密钥 |
值 |
|---|---|
deviceProcessName |
任务名称。 |
cnt |
过去 5 分钟内的错误数。 |
cs1 |
应用程序操作模式( |
cs1Label |
该值始终为 |
任务组的每个事件类别只能包含与其相关的密钥(请参见下表)。
任务组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_PROCESS_CRASHED |
deviceProcessName,cnt |
LMS_EV_RESTARTED |
deviceProcessName,cnt |
LMS_EV_PRODUCT_STARTED |
cs1,cs1Label |
授权许可组的事件类别
在授权许可组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
授权许可组事件类别字段的允许值
密钥 |
值 |
|---|---|
cs1 |
授权许可密钥的序列号。 |
cs1Label |
该值始终是 |
cs2 |
Kaspersky Web Traffic Security 按照授权许可的运行模式。 |
cs2Label |
该值始终是 |
cs3 |
授权许可类型。 |
cs3Label |
该值始终是 |
cn1 |
授权许可到期之前剩余的天数。 |
cn1Label |
该值始终是 |
reason |
错误描述。 |
deviceCustomDate1 |
授权许可到期日期。 |
deviceCustomDate1Label |
该值始终是 |
授权许可组的每个事件类别只能包含与其相关的密钥(请参见下表)。
授权许可组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_LICENSE_OK |
cs1,cs1Label,cs2,cs2Label |
LMS_EV_LICENSE_INVALID |
cs1,cs1Label,reason |
LMS_EV_NO_LICENSE |
没有值 |
LMS_EV_LICENSE_BLACKLISTED |
cs1,cs1Label |
LMS_EV_LICENSE_TRIAL_EXPIRED |
cs1、cs1Label、deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_LICENSE_EXPIRED |
cs1、cs1Label、deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_LICENSE_ERROR |
reason |
LMS_EV_LICENSE_INSTALLED |
cs1、cs1Label、cs2、cs2Label、cs3、cs3Label |
LMS_EV_LICENSE_UPDATED |
cs1、cs1Label、cs2、cs2Label、cs3、cs3Label、deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_GRACE_PERIOD |
cs1、cs1Label、cn1、cn1Label |
LMS_EV_LICENSE_REVOKED |
cs1,cs1Label |
LMS_EV_LICENSE_EXPIRES_SOON |
cs1、cs1Label、cn1、cn1Label |
更新组的事件类别
在更新组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
更新组事件类别字段的允许值
密钥 |
值 |
|---|---|
reason |
事件发生的原因。 |
cn1 |
天数。 |
cn1Label |
该值始终为 |
cnt |
数据库中的记录数。 |
deviceCustomDate1 |
数据库发布日期。 |
deviceCustomDate1Label |
该值始终为 |
deviceCustomDate2 |
索引发布日期。 |
deviceCustomDate2Label |
该值始终为 |
更新组的每个事件类别只能包含与其相关的密钥(请参见下表)。
更新组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_ANTIVIRUS_BASES_UPDATED |
没有值 |
LMS_EV_ANTIPHISHING_BASES_UPDATED |
没有值 |
LMS_EV_BASES_NOTHING_TO_UPDATE |
没有值 |
LMS_EV_ANTIVIRUS_BASES_UP_TO_DATE |
没有值 |
LMS_EV_ANTIPHISHING_BASES_UP_TO_DATE |
没有值 |
LMS_EV_ANTIVIRUS_BASES_OUT_OF_DATE |
cn1,cn1Label |
LMS_EV_ANTIPHISHING_BASES_OUT_OF_DATE |
cn1,cn1Label |
LMS_EV_ANTIVIRUS_BASES_OBSOLETED |
cn1,cn1Label |
LMS_EV_ANTIPHISHING_BASES_OBSOLETED |
cn1,cn1Label |
LMS_EV_ANTIVIRUS_BASES_APPLIED |
deviceCustomDate2、deviceCustomDate2Label、cnt、deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_ANTIPHISHING_BASES_APPLIED |
deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_BASES_UPDATE_ERROR |
reason |
ICAP 组的事件类别
在 ICAP 组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
ICAP 组事件类别字段的允许值
密钥 |
值 |
|---|---|
cs1 |
<用户名>。 |
cs1Label |
该值始终是 |
cs2 |
工作区的名称。 |
cs2Label |
该值始终为 |
cs3 |
流量处理规则名称。允许使用多个名称。 |
cs3Label |
该值始终为 |
请求 |
请求网址。 |
src |
用户 IP 地址。 |
requestClientApplication |
处理流量的浏览器或应用程序的名称(用户代理)。 |
act |
以下操作之一: |
ICAP 的每个事件类别只能包含与其相关的密钥(请参见下表)。
ICAP 组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_ICAP_MESSAGE_PROCESSED |
cs1、cs1Label、cs2、cs2Label、cs3、cs3Label、src、request、requestClientApplication、act |