配置将应用程序事件发布到 SIEM 系统

要在技术支持模式下配置事件发布，您必须首先在应用程序的 Web 界面中上传 SSH 公钥。

在要从其将事件发布到 SIEM 系统的集群的每个节点上执行以下步骤。您应该仅在配置事件发布后启用CEF 格式的事件导出。

配置将应用程序事件发布到 SIEM 系统：

1. 如果 Kaspersky Web Traffic Security 是从 iso 文件安装的，请使用 SSH 私钥在 root 帐户下连接到 Kaspersky Web Traffic Security 虚拟机的管理控制台。这将带您进入技术支持模式。

   如果 Kaspersky Web Traffic Security 是通过 rpm 或 deb 软件包安装的，请启动操作系统的命令 shell 以使用超级用户（系统管理员）权限运行命令。

2. 事件被使用 rsyslog 系统日志记录服务发送到外部 SIEM 系统。要确保该服务已安装并正在运行，请运行以下命令：

   systemctl status rsyslog

   服务的状态必须是正在运行。

   如果 rsyslog 服务未运行或未安装，请根据操作系统的文档安装并启用 rsyslog 服务。

3. 指定用于连接到带有 SIEM 系统的服务器的地址和端口。为此，请创建 /etc/rsyslog.d/kwts-cef-messages.conf 文件并向其中添加以下行：

   $ActionQueueFileName ForwardToSIEM5

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local5.*@@<SIEM系统的 IP 地址>:<SIEM 系统通过 TCP 协议从 Syslog 接收消息的端口>

   local5.* stop

   示例： $ActionQueueFileName ForwardToSIEM5 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local5.* @@10.16.32.64:514 local5.* stop

4. 重启 rsyslog 服务。为此，请执行命令：

   systemctl restart rsyslog

5. 使用以下命令检查 rsyslog 服务的状态：

   systemctl status rsyslog

   状态必须是正在运行。

6. 向 SIEM 系统发送测试消息：

   logger -p local5.info 测试消息

应用程序事件到 SIEM 系统的发布得到配置。