配置 CEF 格式的事件导出

在启用 CEF 格式的事件导出之前，您必须在Kaspersky Web Traffic Security 集群的每个节点上安装 siem_logging_fixes.zip 更新包。请联系技术支持获取更新包。

要在技术支持模式下启用事件导出，您必须首先在应用程序的 Web 界面中上传 SSH 公钥，并配置将应用程序事件发布到 SIEM 系统。

在要从其将事件以 CEF 格式导出的集群的每个节点上执行以下步骤。

要配置 CEF 格式的事件导出：

1. 如果 Kaspersky Web Traffic Security 是从 iso 文件安装的，请使用 SSH 私钥在 root 帐户下连接到 Kaspersky Web Traffic Security 虚拟机的管理控制台。这将带您进入技术支持模式。

   如果 Kaspersky Web Traffic Security 是通过 rpm 或 deb 软件包安装的，请启动操作系统的命令 shell 以使用超级用户（系统管理员）权限运行命令。

2. 转至 /opt/kaspersky/kwts/share/templates/core_settings 目录并创建 event_logger.json.template 文件的备份副本：

   cp -p event_logger.json.template event_logger.json.template.backup

3. 打开 event_logger.json.template 文件进行编辑，并在siemSettings部分中指定以下设置（确保遵守 JSON 文件的语法和结构）：

   "enabled": true,

   "facility": "Local5",

   "logLevel": "Info",

4. 在应用程序的 Web 界面中，设置 →日志和事件部分，编辑任何设置的值，然后单击保存。

   这是同步集群节点之间的设置以及应用对配置文件所做的更改所必需的。然后，您可以恢复先前编辑的设置值。

5. 确保更改已应用：

   /opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings

   响应必须包含带有步骤 3 中指定的值的设置。

以 CEF 格式导出事件得到配置。

如果要禁用 CEF 格式的事件导出，请按照上面的说明进行操作，并在步骤 3 中设置"enabled": false。