Jak skonfigurować wysyłanie informacji o zdarzeniach z Kaspersky Secure Mail Gateway to SIEM?

 

Kaspersky Secure Mail Gateway

 
 
 

Jak skonfigurować wysyłanie informacji o zdarzeniach z Kaspersky Secure Mail Gateway to SIEM?

Powrót do sekcji "Ustawienia"
Ostatnia aktualizacja: 2019 wrz 17 ID artykułu: 15249
 
 
 
 

Artykuł dotyczy Kaspersky Secure Mail Gateway 1.1 Service Pack 1 Maintenance Release 2 (wersja 1.1.2.12).

 
 
 
 
  1. Ustaw format wysyłania zdarzeń. Szczegółowe instrukcje można znaleźć na stronie pomocy online. Użyj Local1 jako Facility.
  2. Otwórz konsolę maszyny wirtualnej Kaspersky Secure Mail Gateway lub połącz się z nią poprzez protokół SSH.
  3. Przejdź do trybu Technical Support Mode.
  4. Określ adres i port dla SIEM. Na końcu pliku /etc/rsyslog.conf dodaj następujące wiersze:

$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

local1.* @@IP:PORT

Gdzie IP oznacza adres IP SIEM, a PORT oznacza port, którego SIEM używa do odbierania wiadomości z syslog za pośrednictwem TCP.

  1. Uruchom polecenie:

service rsyslog restart

Od teraz zdarzenia będą wysyłane do SIEM.

Zalecane jest wykonanie zrzutu ekranu przedstawiającego system plików maszyny wirtualnej z Kaspersky Secure Mail Gateway przed edytowaniem /etc/rsyslog.conf. Błędy w pliku mogą prowadzić do problemów z działaniem maszyny.  

 
 
 
 
Czy te informacje były pomocne?
Tak Nie
Dziękujemy
 

 
 

Jak możemy ulepszyć ten artykuł?

Twoja opinia zostanie wykorzystana tylko w celu udoskonalenia zawartości. Jeśli potrzebujesz pomocy, skontaktuj się z działem pomocy technicznej.

Wyślij Wyślij

Dziękujemy za Twoją opinię!

Twoje sugestie pomogą nam ulepszyć ten artykuł.

OK