設定將應用程式事件發佈到 SIEM 系統
設定將應用程式事件發佈到 SIEM 系統
2024年4月26日
ID 218660
要在技術支援模式下設定事件發佈,您必須先在應用程式 Web 介面中上傳 SSH 公用金鑰。
在開始設定之前,確保您已啟用 CEF 格式的事件匯出。
在您想要將事件發佈到 SIEM 系統的每個叢集節點上執行以下指令。
要設定將應用程式事件發佈到 SIEM 系統:
- 在 root 帳戶下使用 SSH 私密金鑰連線到 Kaspersky Secure Mail Gateway 虛擬機器管理主控台。
您將進入技術支援模式。
- 指定用於連線到承载 SIEM 系統之伺服器的位址和連接埠。為此,請將以下幾行新增到 /etc/rsyslog.conf 檔案的末尾:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<category (facility)>.* @@<IP address of the SIEM system>:<port used by the SIEM system to receive messages from Syslog over TCP>
在對 /etc/rsyslog.conf 檔案進行任何變更之前,建議您產生備份副本。編輯檔案時出錯可能會導致系統執行不正確。
- 重新啟動 rsyslog 服務。為此,執行以下指令:
service rsyslog restart
將設定向 SIEM 系統發佈應用程式事件。
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。