Поддержка

Поддержка приложений для бизнеса

Kaspersky Web Traffic Security 6.x

Публикация событий программы в SIEM-систему

Настройка экспорта событий в формате CEF

Kaspersky Web Traffic Security 6.x
Нет результатов
База знаний Онлайн-справка
FAQ Системные требования Скачать Купить Продлить Форум Запрос в поддержку Утилиты для лечения Видео о продуктах

Настройка экспорта событий в формате CEF

13 декабря 2023

ID 267198

Перед включением экспорта событий в формате CEF требуется установить пакет обновления siem_logging_fixes.zip на каждом узле кластера Kaspersky Web Traffic Security. Пакет обновления предоставляется по запросу в Службу технической поддержки.

Для включения экспорта событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения и настроить публикацию событий программы в SIEM-систему.

Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите экспортировать в формате CEF.

Чтобы настроить экспорт событий в формате CEF:

  1. Если Kaspersky Web Traffic Security был установлен из iso-файла, подключитесь к консоли управления виртуальной машиной Kaspersky Web Traffic Security под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.

    Если Kaspersky Web Traffic Security был установлен из rpm- или deb-пакета, запустите командную оболочку операционной системы для выполнения команд с полномочиями суперпользователя (администратора системы).

  2. Перейдите в каталог /opt/kaspersky/kwts/share/templates/core_settings и создайте резервную копию файла event_logger.json.template с помощью команды:

    cp -p event_logger.json.template event_logger.json.template.backup

  3. Откройте файл event_logger.json.template на редактирование и, соблюдая синтаксис и структуру JSON-файла, в секции siemSettings укажите следующие значения параметров:

    "enabled": true,

    "facility": "Local5",

    "logLevel": "Info",

  4. В веб-интерфейсе приложения в разделе ПараметрыЖурналы и события внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.

    Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.

  5. Убедитесь, что изменения применены, с помощью команды:

    /opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings

    Ответ должен содержать параметры со значениями, указанными в п. 3.

Экспорт событий в формате CEF будет настроен.

Если вы хотите отключить экспорт событий в формате CEF, выполните шаги инструкции выше и в п. 3 установите значение параметра "enabled": false.

Kaspersky Endpoint Security для бизнеса Расширенный — адаптивная защита вашей компании
Веб-контроль и контроль устройств. Шифрование данных. Удобное управление защитой из единой консоли.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!