关于 SIEM 集成

为了减小低性能设备上的负载和降低由于应用程序日志大小增大而造成系统性能降级的风险，可以通过 Syslog 协议将审核事件和任务性能事件的发布配置到 syslog 服务器。

syslog 服务器是用于聚合事件 (SIEM) 的外部服务器。它存储和分析收到的事件，并执行其他日志管理操作。

可以在两种模式中使用 SIEM 集成：

• 在 syslog 服务器上复制事件：在此模式下，其发布在日志设置中进行配置的所有任务性能事件以及所有系统审核事件，即使在发送到 SIEM 服务器后仍继续存储在受保护设备上。

  建议使用此模式以尽可能减少受保护设备上的负载。

• 删除事件的本地副本：在此模式下，在应用程序运行过程中注册和发布到 SIEM 的所有事件将从受保护设备中删除。

  应用程序永远不会删除安全日志的本地版本。

Kaspersky Embedded Systems Security 可以将应用程序日志中的事件转换为 syslog 服务器支持的格式，以便这些事件能够被传输和被 SIEM 服务器成功识别。应用程序支持转换为结构化数据格式和 JSON 格式。

建议根据使用的 SIEM 服务器的配置来选择事件的格式。

可靠性设置

通过定义连接到镜像 syslog 服务器的设置，可以降低事件传输到 SIEM 服务器不成功的风险。

镜像 syslog 服务器是一个额外的 syslog 服务器，如果与主 syslog 服务器的连接不可用或不能使用主服务器，应用程序会自动切换到该服务器。

Kaspersky Embedded Systems Security 还使用系统审核事件来通知您尝试连接 SIEM 服务器不成功以及将事件发送到 SIEM 服务器时出错。