Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Настройка получения событий KWTS

Вы можете настроить получение событий из системы анализа и фильтрации веб-трафика Kaspersky Web Traffic Security (KWTS) в KUMA.

Настройка получения событий состоит из следующих этапов:

  1. Настройка передачи событий KWTS в KUMA.
  2. Создание коллектора KUMA для получения событий KWTS.

    Для получения событий KWTS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KWTS.

  3. Установка коллектора KUMA для получения событий KWTS.
  4. Проверка поступления событий KWTS в коллектор KUMA.

    Вы можете проверить, что настройка передачи событий KWTS выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало
[Topic 254373]

Настройка передачи событий KWTS в KUMA

Чтобы настроить передачу событий KWTS в KUMA:

  1. Подключитесь к серверу KWTS по протоколу SSH под учетной записью root.
  2. Перед внесением изменений создайте резервные копии следующих файлов:
    • /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
    • /etc/rsyslog.conf
  3. Убедитесь, что параметры конфигурационного файла /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template имеют следующие значения, при необходимости внесите изменения:

    "siemSettings":

    {

    "enabled": true,

    "facility": "Local5",

    "logLevel": "Info",

    "formatting":

    {

  4. Сохраните внесенные изменения.
  5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf:

    $WorkDirectory /var/lib/rsyslog

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

    Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

    local5.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>

  6. Сохраните внесенные изменения
  7. Перезапустите сервис rsyslog с помощью следующей команды:

    sudo systemctl restart rsyslog.service

  8. Перейдите в веб-интерфейс KWTS на вкладку ПараметрыSyslog и включите опцию Записывать информацию о профиле трафика.
  9. Нажмите Сохранить.

В начало
[Topic 254394]