Настройка публикации событий приложения в SIEM-систему
26 апреля 2024
ID 218660
Для настройки публикации событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения.
Перед началом настройки убедитесь, что вы включили экспорт событий в формате CEF.
Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите публиковать в SIEM-систему.
Чтобы настроить публикацию событий приложения в SIEM-систему:
- Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH.
Вы войдете в режим Technical Support Mode.
- Укажите адрес и порт подключения к серверу с SIEM-системой. Для этого добавьте в конец файла /etc/rsyslog.conf следующие строки:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<категория (facility)>.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>
Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.
- Перезапустите службу rsyslog. Для этого выполните команду:
service rsyslog restart
Публикация событий приложения в SIEM-систему будет настроена.