Настройка экспорта событий в формате CEF
03 июля 2024
ID 151533
Для включения экспорта событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения.
Вы можете сохранять файлы с экспортированными событиями локально на сервере, а также настроить их публикацию во внешнюю SIEM-систему. Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции этого раздела.
Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите экспортировать в формате CEF.
Чтобы настроить экспорт событий в формате CEF:
- Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH.
Вы войдете в режим Technical Support Mode.
- Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
- Если вы хотите выбрать категорию (facility) для syslog, в которую будут экспортироваться события, в блоке
siemSettings
укажите одно из следующих значений параметраfacility
:Auth
.Authpriv
.Cron
.Daemon
.Ftp
.Lpr
.Mail
.News
.Syslog
.User
.Uucp
.Local0
.Local1
.Local2
.Local3
.Local4
.Local5
.Local6
.Local7
.
Рекомендуется указать такую категорию (facility) для syslog, которая не используется другими программами на сервере.
По умолчанию установлено значение
local2
. - Установите значение параметра
enabled
равнымtrue
. - Задайте уровень детализации экспорта, установив одно из следующих значений параметра
logLevel
:Error
– экспорт событий, связанных с возникновением ошибок.Info
– экспорт всех событий.Пример:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
}
- Если вы хотите выбрать категорию (facility) для syslog, в которую будут экспортироваться события, в блоке
- В файле /etc/rsyslog.conf измените строку
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
на
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages
- Добавьте в файл /etc/rsyslog.conf следующую строку:
<категория (facility), выбранная на шаге 2>.* -/var/log/ksmg-cef-messages
- Создайте файл /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog следующие строки:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Перезапустите службу rsyslog. Для этого выполните команду:
service rsyslog restart
- В веб-интерфейсе приложения в разделе Параметры → Журналы и события → События внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.
Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.
Экспорт событий в формате CEF будет настроен.