關於 SIEM 整合

為了減小低效能裝置上的負載和降低由於應用程式記錄大小增大而造成系統效能降級的風險，可以透過 Syslog 協定將稽核事件和工作效能事件的發佈配置到 syslog 伺服器。

syslog 伺服器是用於聚合事件 (SIEM) 的外部伺服器。它會儲存和分析收到的事件，並執行其他記錄管理操作。

可以在兩種模式中使用 SIEM 整合：

• 在 syslog 伺服器上複製事件：在此模式下，其發佈在記錄設定中進行配置的所有工作效能事件以及所有系統稽核事件，即使在傳送到 SIEM 伺服器後仍繼續儲存在受防護裝置上。

  建議使用此模式以盡可能減少受防護裝置上的負載。

• 刪除事件的本機副本：在此模式下，在應用程式執行過程中註冊和發佈到 SIEM 的所有事件將從受防護裝置中刪除。

  應用程式永遠不會刪除安全記錄的本機版本。

Kaspersky Embedded Systems Security 可以將應用程式記錄中的事件轉換為 syslog 伺服器支援的格式，以便這些事件能夠被傳輸和被 SIEM 伺服器成功識別。應用程式支援轉換為結構化資料格式和 JSON 格式。

建議根據使用的 SIEM 伺服器的配置來選擇事件的格式。

可靠性設定

透過定義連線到映像 syslog 伺服器的設定，可以降低事件傳輸到 SIEM 伺服器不成功的風險。

映像 syslog 伺服器是一個額外的 syslog 伺服器，如果與主 syslog 伺服器的連線無法使用或不能使用主要伺服器，應用程式會自動轉換到該伺服器。

Kaspersky Embedded Systems Security 還使用系統稽核事件來通知您嘗試連線 SIEM 伺服器不成功以及將事件傳送到 SIEM 伺服器時出錯。