Настройка передачи событий KSMG в KUMA

Чтобы настроить передачу событий KSMG в KUMA:

1. Подключитесь к серверу KSMG по протоколу SSH под учетной записью с правами администратора.
2. С помощью утилиты ksmg-control выгрузите настройки в файл settings.xml:

   sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xml

3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:

   <siemSettings>

   <enabled>1</enabled>

   <facility>Local1</facility>

4. Примените настройки с помощью следующей команды:

   sudo /opt/kaspersky/ksmg/bin/ksmg-control --set-settings EventLogger -n -f /tmp/settings.xml

5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf:

   $WorkDirectory /var/lib/rsyslog

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local1.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

   Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

   local1.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>

6. Сохраните внесённые изменения.
7. Перезапустите сервис rsyslog с помощью следующей команды:

   sudo systemctl restart rsyslog.service

В начало