配置将应用程序事件发布到 SIEM 系统
2023年12月13日
ID 267199
要在技术支持模式下配置事件发布,您必须首先在应用程序的 Web 界面中上传 SSH 公钥。
在要从其将事件发布到 SIEM 系统的集群的每个节点上执行以下步骤。您应该仅在配置事件发布后启用CEF 格式的事件导出。
配置将应用程序事件发布到 SIEM 系统:
- 如果 Kaspersky Web Traffic Security 是从 iso 文件安装的,请使用 SSH 私钥在 root 帐户下连接到 Kaspersky Web Traffic Security 虚拟机的管理控制台。这将带您进入技术支持模式。
如果 Kaspersky Web Traffic Security 是通过 rpm 或 deb 软件包安装的,请启动操作系统的命令 shell 以使用超级用户(系统管理员)权限运行命令。
- 事件被使用 rsyslog 系统日志记录服务发送到外部 SIEM 系统。要确保该服务已安装并正在运行,请运行以下命令:
systemctl status rsyslog
服务的状态必须是
正在运行
。如果 rsyslog 服务未运行或未安装,请根据操作系统的文档安装并启用 rsyslog 服务。
- 指定用于连接到带有 SIEM 系统的服务器的地址和端口。为此,请创建 /etc/rsyslog.d/kwts-cef-messages.conf 文件并向其中添加以下行:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.*@@<SIEM系统的 IP 地址>:<SIEM 系统通过 TCP 协议从 Syslog 接收消息的端口>
local5.* stop
示例:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @@10.16.32.64:514
local5.* stop
- 重启 rsyslog 服务。为此,请执行命令:
systemctl restart rsyslog
- 使用以下命令检查 rsyslog 服务的状态:
systemctl status rsyslog
状态必须是
正在运行
。 - 向 SIEM 系统发送测试消息:
logger -p local5.info 测试消息
应用程序事件到 SIEM 系统的发布得到配置。