配置將應用程式事件發佈到 SIEM 系統
2023年12月13日
ID 267199
若要在技術支援模式下設定事件發布,您必須先在應用程式的 Web 介面中上傳 SSH SSH 公開金鑰。
在要從其將事件發佈到 SIEM 系統的叢集的每個節點上執行下列步驟。您應該僅在配置事件發布後啟用CEF 格式的事件匯出。
配置將應用程式事件發佈到 SIEM 系統:
- 如果 Kaspersky Web Traffic Security 是從 iso 檔案安裝的,請使用 SSH 私鑰在 root 帳戶下連線到 Kaspersky Web Traffic Security 虛擬機的管理主控台。這將帶您進入技術支援模式。
如果 Kaspersky Web Traffic Security 是透過 rpm 或 deb 軟體套件安裝的,請啟動作業系統的命令shell 以使用超級使用者(系統管理員)權限執行命令。
- 事件被使用 rsyslog 系統日誌記錄服務傳送到外部SIEM 系統。若要確保服務已安裝並正在運行,請執行以下命令:
systemctl status rsyslog
服務的狀態必須是
正在運作
。如果 rsyslog 服務未運作或未安裝,請依照作業系統的文件安裝並啟用 rsyslog 服務。
- 指定用於連接到具有 SIEM 系統的伺服器的位址和連接埠。為此,請建立 /etc/rsyslog.d/kwts-cef-messages.conf 檔案並在其中新增以下行:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.*@@<SIEM系統的IP 位址>:<SIEM 系統透過TCP 協定從 Syslog 接收訊息的連接埠>
local5.* stop
示例:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @@10.16.32.64:514
local5.* stop
- 重啟 rsyslog 服務。為此,請執行指令:
systemctl restart rsyslog
- 使用以下命令檢查 rsyslog 服務的狀態:
systemctl status rsyslog
狀態必須是
正在運作
。 - 向 SIEM 系統傳送測試訊息:
logger -p local5.info 測試訊息
應用程式事件到 SIEM 系統的發布得到配置。