Поддержка

Поддержка приложений для бизнеса

Kaspersky Web Traffic Security 6.x

Публикация событий программы в SIEM-систему

Настройка публикации событий программы в SIEM-систему

Kaspersky Web Traffic Security 6.x
Нет результатов
База знаний Онлайн-справка
FAQ Системные требования Скачать Купить Продлить Форум Запрос в поддержку Утилиты для лечения Видео о продуктах

Настройка публикации событий программы в SIEM-систему

13 декабря 2023

ID 267199

Для настройки публикации событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения.

Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите публиковать в SIEM-систему. Только после настройки публикации событий следует включать экспорт событий в формате CEF.

Чтобы настроить публикацию событий приложения в SIEM-систему:

  1. Если Kaspersky Web Traffic Security был установлен из iso-файла, подключитесь к консоли управления виртуальной машиной Kaspersky Web Traffic Security под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.

    Если Kaspersky Web Traffic Security был установлен из rpm- или deb-пакета, запустите командную оболочку операционной системы для выполнения команд с полномочиями суперпользователя (администратора системы).

  2. События передаются во внешнюю SIEM-систему с помощью системной службы ведения журналов rsyslog. Убедитесь, что служба установлена и запущена, с помощью команды:

    systemctl status rsyslog

    Статус службы должен быть running.

    Если служба rsyslog не запущена или отсутствует, установите и активируйте службу rsyslog согласно документации вашей операционной системы.

  3. Укажите адрес и порт подключения к серверу с SIEM-системой. Для этого создайте файл /etc/rsyslog.d/kwts-cef-messages.conf и добавьте в него следующие строки:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>

    local5.* stop

    Пример:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@10.16.32.64:514

    local5.* stop
  4. Перезапустите службу rsyslog. Для этого выполните команду:

    systemctl restart rsyslog

  5. Проверьте статус службы rsyslog с помощью команды:

    systemctl status rsyslog

    Статус должен быть running.

  6. Отправьте тестовое сообщение в SIEM-систему с помощью команды:

    logger -p local5.info Test message

Публикация событий приложения в SIEM-систему будет настроена.

Kaspersky Endpoint Security для бизнеса Расширенный — адаптивная защита вашей компании
Веб-контроль и контроль устройств. Шифрование данных. Удобное управление защитой из единой консоли.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!