配置 CEF 格式的事件导出

要在技术支持模式下启用事件导出，您必须先在应用程序 Web 界面中上传 SSH 公钥。

您可以将包含导出事件的文件本地保存在服务器，并配置其发布到外部 SIEM 系统。如果您不需要在本地保存文件，则可以跳过本节说明的第 4-7 步。

在您想要以 CEF 格式导出事件的每个集群节点上执行以下指令。

要配置 CEF 格式的事件导出：

1. 在 root 账户下使用 SSH 私钥连接到 Kaspersky Secure Mail Gateway 虚拟机管理控制台。

   您将进入技术支持模式。

2. 对事件导出配置文件 /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template 进行以下更改：
   • 如果要选择将事件导出到的 Syslog 类别 (facility) ，请在 siemSettings 部分中为 facility 参数指定以下值之一：
     • Auth
     • Authpriv
     • Cron
     • Daemon
     • Ftp
     • Lpr
     • Mail
     • News
     • Syslog
     • User
     • Uucp
     • Local0
     • Local1
     • Local2
     • Local3
     • Local4
     • Local5
     • Local6
     • Local7

     建议为 Syslog 指定未被服务器上其他程序使用的类别 (facility)。

     默认值为 local2。

   • 将 enabled 参数值设置为 true。
   • 为 logLevel 参数设置以下值之一来定义导出详细信息级别：
     • 错误 – 导出与错误相关的事件。
     • 信息 – 导出所有事件。

       示例： "siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info", }

3. 在 /etc/rsyslog.conf 文件中，将字符串

   *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

   更改为

   *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<在第 2 步选择的设施>.none /var/log/messages

4. 将以下字符串添加到 /etc/rsyslog.conf 文件中：

   <在第 2 步选择的设施>.* -/var/log/ksmg-cef-messages

5. 创建 /var/log/ksmg-cef-messages 文件并配置其访问权限。为此，请执行以下命令：

   touch /var/log/ksmg-cef-messages

   chown root:klusers /var/log/ksmg-cef-messages

   chmod 640 /var/log/ksmg-cef-messages

6. 配置包含导出事件的文件的轮换规则。要执行此操作，请将以下字符串添加到 /etc/logrotate.d/ksmg-syslog 文件中：

   /var/log/ksmg-cef-messages

   {

   size 500M

   rotate 10

   notifempty

   sharedscripts

   postrotate

   /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

   endscript

   }

7. 重新启动rsyslog 服务。为此，请运行以下命令：

   service rsyslog restart

8. 在应用程序 Web 界面中的 设置 → 日志和事件 → 事件 区域中，修改任意参数的值，然后单击 保存。

   这对于在集群节点之间同步参数以及应用对配置文件所做的更改是必需的。然后您可以恢复已修改的参数的原始值。

CEF 格式的事件导出现已配置。