Настройка передачи событий KWTS в KUMA

Чтобы настроить передачу событий KWTS в KUMA:

1. Подключитесь к серверу KWTS по протоколу SSH под учетной записью root.
2. Перед внесением изменений создайте резервные копии следующих файлов:
   • /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
   • /etc/rsyslog.conf
3. Убедитесь, что параметры конфигурационного файла /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template имеют следующие значения, при необходимости внесите изменения:

   "siemSettings":

   {

   "enabled": true,

   "facility": "Local5",

   "logLevel": "Info",

   "formatting":

   {

4. Сохраните внесённые изменения.
5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf:

   $WorkDirectory /var/lib/rsyslog

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local5.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

   Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

   local5.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>

6. Сохраните внесённые изменения
7. Перезапустите сервис rsyslog с помощью следующей команды:

   sudo systemctl restart rsyslog.service

8. Перейдите в веб-интерфейс KWTS на вкладку Параметры – Syslog и включите опцию Записывать информацию о профиле трафика.
9. Нажмите Сохранить.