Шаг 9 (необязательный). Создание информационных сообщений о входящих сервисных событиях Kaspersky CyberTrace
Шаг 9 (необязательный). Создание информационных сообщений о входящих сервисных событиях Kaspersky CyberTrace
11 апреля 2024
ID 196831
Для создания уведомлений о входящих сервисных событиях Kaspersky CyberTrace можно настроить правила информационных сообщений.
Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в LogRhythm, выполните следующие действия:
- Запустите LogRhythm Console.
- Выберите Deployment Manager > Alarm Rules и нажмите New.
- В окне подтверждения Create Global Rule нажмите кнопку Yes, если требуется предоставить доступ к работе с этим правилом всем пользователям, у которых есть роль Global Admin. Нажмите No, если с этим правилом должен работать только текущий пользователь.
- Выполните следующие действия на каждой вкладке внизу страницы:
- На вкладке Primary Criteria выполните следующие действия:
- Нажмите кнопку New и выберите значение Common Event в раскрывающемся списке Add New Field Filter.
- Нажмите на кнопку Edit values.
Откроется окно Field Filter Values.
- В окне Field Filter Values нажмите на кнопку Add Item.
- Выберите имя сервисного события Kaspersky CyberTrace из списка. Если такие события отсутствуют, добавьте их, как описано в разделе Добавление событий Kaspersky CyberTrace.
- Нажмите на кнопку OK.
- Оставьте вкладки Include Filters, Exclude Filters и Day and Time Criteria без изменений.
- На вкладке Log Source Criteria установите флажок Include the Selected Log Sources, затем нажмите на кнопку Add.
Окно Alarm Rule window
- Выберите источник, соответствующий Kaspersky CyberTrace, и нажмите на кнопку OK. Информацию о добавлении источника событий Kaspersky CyberTrace см. в разделе Добавление источника журналов в System Monitor Agent.
Окно Log Source Criteria Add
- Вкладку Aggregation оставьте без изменений.
- На вкладке Settings укажите период времени, в течение которого должны подавляться идентичные информационные сообщения, связанные с возникновением каких-либо новых сервисных событий Kaspersky CyberTrace.
Параметры подавления информационных сообщений
- На вкладке Notify выберите роль или пользователя, которым должны быть адресованы уведомления.
Выбор ролей для уведомления
- Вкладку Actions оставьте без изменений.
- На вкладке Information укажите имя правила и его описание.
Alarm Rule Name/Brief Description
- На вкладке Primary Criteria выполните следующие действия:
- Нажмите на кнопку OK.
- На вкладке Alarm Rules щелкните по новому правилу правой кнопкой мыши и выберите Actions > Enable.
Включение правила
- Настройте отображение информационных сообщений в веб-консоли LogRhythm, как описано в разделе Шаг 10 (необязательный). Отображение оповещений о событиях в LogRhythm.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!