配置 CEF 格式的事件匯出
配置 CEF 格式的事件匯出
2023年12月13日
ID 267198
在啟用 CEF 格式的事件匯出之前,您必須在Kaspersky Web Traffic Security 叢集的每個節點上安裝 siem_logging_fixes.zip 更新套件。請聯絡技術支援獲取更新套件。
若要在技術支援模式下啟用事件匯出,您必須先在應用程式的 Web 介面中上傳 SSH 公開金鑰,並設定將應用程式事件發佈到 SIEM 系統。
在要從其將事件以 CEF 格式匯出的叢集的每個節點上執行下列步驟。
若要配置 CEF 格式的事件匯出:
- 如果 Kaspersky Web Traffic Security 是從 iso 檔案安裝的,請使用 SSH 私鑰在 root 帳戶下連線到 Kaspersky Web Traffic Security 虛擬機的管理主控台。這將帶您進入技術支援模式。
如果 Kaspersky Web Traffic Security 是透過 rpm 或 deb 軟體套件安裝的,請啟動作業系統的命令shell 以使用超級使用者(系統管理員)權限執行命令。
- 前往/opt/kaspersky/kwts/share/templates/core_settings 目錄並建立event_logger.json.template 檔案的備份副本:
cp -p event_logger.json.template event_logger.json.template.backup
- 開啟 event_logger.json.template 檔案進行編輯,並在
siemSettings
部分中指定以下設定(確保遵守 JSON 檔案的語法和結構):"enabled": true,
"facility": "Local5",
"logLevel": "Info",
- 在應用程式的 Web 介面中,設定 →記錄和事件部分,編輯任何設定的值,然後按一下儲存。
這是同步叢集節點之間的設定以及套用對設定檔所做的變更所必需的。然後,您可以恢復先前編輯的設定值。
- 確保變更已套用:
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
回應必須包含帶有步驟 3 中指定的值的設定。
以 CEF 格式匯出事件已配置。
如果要停用 CEF 格式的事件匯出,請按照上面的說明進行操作,並在步驟3 中設定"enabled": false
。
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。