Настройка экспорта событий в формате CEF
13 декабря 2023
ID 267198
Перед включением экспорта событий в формате CEF требуется установить пакет обновления siem_logging_fixes.zip на каждом узле кластера Kaspersky Web Traffic Security. Пакет обновления предоставляется по запросу в Службу технической поддержки.
Для включения экспорта событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения и настроить публикацию событий программы в SIEM-систему.
Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите экспортировать в формате CEF.
Чтобы настроить экспорт событий в формате CEF:
- Если Kaspersky Web Traffic Security был установлен из iso-файла, подключитесь к консоли управления виртуальной машиной Kaspersky Web Traffic Security под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.
Если Kaspersky Web Traffic Security был установлен из rpm- или deb-пакета, запустите командную оболочку операционной системы для выполнения команд с полномочиями суперпользователя (администратора системы).
- Перейдите в каталог /opt/kaspersky/kwts/share/templates/core_settings и создайте резервную копию файла event_logger.json.template с помощью команды:
cp -p event_logger.json.template event_logger.json.template.backup
- Откройте файл event_logger.json.template на редактирование и, соблюдая синтаксис и структуру JSON-файла, в секции
siemSettings
укажите следующие значения параметров:"enabled": true,
"facility": "Local5",
"logLevel": "Info",
- В веб-интерфейсе приложения в разделе Параметры → Журналы и события внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.
Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.
- Убедитесь, что изменения применены, с помощью команды:
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
Ответ должен содержать параметры со значениями, указанными в п. 3.
Экспорт событий в формате CEF будет настроен.
Если вы хотите отключить экспорт событий в формате CEF, выполните шаги инструкции выше и в п. 3 установите значение параметра "enabled": false
.