Настройка получения событий KSMG
Вы можете настроить получение событий из систем анализа и фильтрации почтового трафика Kaspersky Secure Mail Gateway (KSMG) 1.1 в
KUMA.
Настройка получения событий состоит из следующих этапов:
- Настройка передачи событий KSMG в KUMA.
- Создание коллектора KUMA для получения событий KSMG.
Для получения событий KSMG в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KSMG.
- Установка коллектора KUMA для получения событий KSMG.
- Проверка поступления событий KSMG в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий KSMG выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.
Настройка передачи событий KSMG в KUMA
Чтобы настроить передачу событий KSMG в KUMA:
- Подключитесь к серверу KSMG по протоколу SSH под учетной записью с правами администратора.
- С помощью утилиты ksmg-control выгрузите настройки в файл settings.xml:
sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xml - Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:
<siemSettings><enabled>1</enabled><facility>Local1</facility> - Примените настройки с помощью следующей команды:
sudo /opt/kaspersky/ksmg/bin/ksmg-control --set-settings EventLogger -n -f /tmp/settings.xml - Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf:
$WorkDirectory /var/lib/rsyslog$ActionQueueFileName ForwardToSIEM$ActionQueueMaxDiskSpace 1g$ActionQueueSaveOnShutdown on$ActionQueueType LinkedList$ActionResumeRetryCount -1local1.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:
local1.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>> - Сохраните внесенные изменения.
- Перезапустите сервис rsyslog с помощью следующей команды:
sudo systemctl restart rsyslog.service