Настройка экспорта событий в формате CEF

Включать экспорт сообщений в формате CEF можно только после того, как была настроена служба системного журнала для локального сохранения CEF-сообщений или их публикации в SIEM-систему.

Чтобы настроить экспорт событий в формате CEF:

1. В окне веб-интерфейса приложения выберите раздел Параметры → Журналы и события → Syslog.
2. На вкладке Формат CEF включите переключатель Включить логирование событий в формате CEF.
3. Если вы хотите выбрать категорию (facility) для syslog, в которую будут экспортироваться события, в раскрывающемся списке Категория Syslog (facility) выберите одно из следующих значений:
   • Auth.
   • Authpriv.
   • Cron.
   • Daemon.
   • Ftp.
   • Lpr.
   • Mail.
   • News.
   • Syslog.
   • User.
   • Uucp.
   • Local0.
   • Local1.
   • Local2.
   • Local3.
   • Local4.
   • Local5.
   • Local6.
   • Local7.

   Рекомендуется указать такую категорию для syslog, которая не используется другими программами на сервере.

   По умолчанию установлено значение Local2.

4. В поле Уровень событий установите уровень детализации экспорта:
   • Error – экспорт событий, связанных с возникновением ошибок.
   • Info – экспорт всех событий.

Экспорт событий в формате CEF будет настроен.