Шаг 8. Проверка работоспособности
11 апреля 2024
ID 210292
В этом разделе описывается порядок проверки правильности интеграции Kaspersky CyberTrace с LogRhythm путем выполнения проверки работоспособности.
Чтобы создать условия для проведения проверки работоспособности:
- Создайте пользовательский тип источника журналов, как описано в разделе Шаг 1. Добавление пользовательского типа источника журналов, со следующими параметрами:
Поле
Данные
Имя
Kaspersky LogScanner
Full Name
Kaspersky LogScanner
Abbreviation
LogScanner
Log Format
Syslog
Brief Description
Kaspersky LogScanner is a command-line application that allows you to send data to Kaspersky CyberTrace Service for checking against feeds.
- Добавьте новое общее событие, как описано в разделе Шаг 3 (необязательный). Добавление событий Kaspersky CyberTrace, со следующими параметрами:
Поле
Данные
Имя
LogScanner_event
Classification
Audit : Other Audit
Brief Description
LogScanner event for verification purposes
Risk Rating
Low-Low
Окно Common Event Properties
- Добавьте правило MPE для Log Scanner, как описано в разделе Шаг 4 (необязательный). Добавление правил Kaspersky CyberTrace, со следующими параметрами:
- На панели дерева Log Message Source Type Associations выберите Kaspersky LogScanner.
- Укажите
LogScanner_event
в качестве имени правила (Rule Name). - В раскрывающемся списке Common Event выберите LogScanner_event.
- В поле Rule Status выберите Production.
- В поле Base-Rule Regular Expression введите «
.*
».
Форма конструктора правил
- Создайте новую политику для Kaspersky Log Scanner, как описано в разделе Шаг 5. Добавление политики Kaspersky CyberTrace.
В списке Log Source Type выберите Kaspersky LogScanner. Задайте все остальные параметры, как описано в разделе Шаг 5. Добавление политики Kaspersky CyberTrace.
- Добавьте источник журналов в System Monitor Agent:
- В файле конфигурации Log Scanner укажите IP-адрес сервера, на котором работает LogRhythm, и порт
514
. - Отправьте файл
%service_dir%/verification/kl_verification_test_cef.txt
в LogRhythm.- Для этого выполните следующую команду (в Linux):
./log_scanner -p ../verification/kl_verification_test_cef.txt
- Для этого выполните следующую команду (в Windows):
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
- Для этого выполните следующую команду (в Linux):
- В файле конфигурации Log Scanner укажите IP-адрес сервера, на котором работает LogRhythm, и порт
После того, как Kaspersky Log Scanner отправит событие, на вкладке Log Sources появится новый элемент.
Чтобы принять новый источник журнала, выполните следующие действия:
- Щелкните по новому элементу правой кнопкой мыши и выберите пункт контекстного меню Actions > Resolve Log Source Hosts.
- Дважды щелкните по новому элементу.
Откроется окно Log Source Acceptance Properties.
Окно Log Source Acceptance Properties
- Измените свойства:
- Укажите хост источника журналов.
- Укажите
Kaspersky LogScanner
в качестве типа источника журналов. - Выберите политику MPE, созданную ранее для Kaspersky Log Scanner.
- Нажмите на кнопку OK.
- Если выводится сообщение об ошибке, указывающее на невозможность использования неизвестного узла источника журналов, добавьте новый объект следующим образом:
- В LogRhythm Console перейдите на вкладку Entities.
- Нажмите на кнопку New Child Entity на панели инструментов.
- В открывшемся окне Entity Properties задайте свойства объекта.
Имя объекта должно быть уникальным и не может быть пустым. Остальные свойства объекта могут быть произвольными.
- Нажмите на кнопку OK.
- Повторите действие из шага 3 с использованием используя созданного объекта в качестве хоста источника журналов.
- Установите флажок Action.
- Щелкните правой кнопкой мыши по источнику журналов и выберите Actions > Accept > Defaults.
Контекстное меню источника журналов
Новый источник журналов добавляется в нижнюю таблицу LogRhythm Console.
Новый источник журналов
- Перезагрузите LogRhythm.
Если ранее была настроена пересылка журналов, как описано в разделе Шаг 7. Настройка пересылки журналов в Kaspersky CyberTrace, убедитесь, что Kaspersky LogScanner выбран в качестве источника журналов (Log Source) (см. подраздел «Добавление политики рассылки журналов»).
Чтобы выполнить проверку работоспособности, выполните следующие действия:
Повторно отправьте файл %service_dir%/verification/kl_verification_test_cef.txt
в LogRhythm.
- Для этого выполните следующую команду (в Linux):
./log_scanner -p ../verification/kl_verification_test_cef.txt
- Для этого выполните следующую команду (в Windows):
log_scanner.exe -p ..\verification\kl_verification_test_cef.txt
Если интеграция Kaspersky CyberTrace с LogRhythm настроена правильно, тестовые события из Log Scanner будут автоматически пересылаться в Kaspersky CyberTrace. После этого оповещения о событии из Kaspersky CyberTrace будут отправляться в LogRhythm. Количество информационных сообщений может варьироваться в зависимости от включенных потоков данных об угрозах Kaspersky Threat Data Feeds. Оповещения о событиях могут отображаться в веб-консоли LogRhythm, как описано в разделе Шаг 10 (необязательный). Отображение оповещений о событиях в LogRhythm. Также можно проверить интеграцию с LogRhythm, создав очередь отображения исходных событий в реальном времени на вкладке Tail консоли LogRhythm.