技术支持

企业产品

Kaspersky Secure Mail Gateway

发布应用程序事件到 SIEM 系统

配置将应用程序事件发布到 SIEM 系统
Kaspersky Secure Mail Gateway
Нет результатов
在线帮助
常见问题解答 系统要求 下载 论坛 联系支持 恢复工具 产品视频

配置将应用程序事件发布到 SIEM 系统

2024年4月26日

ID 218660

要在技术支持模式下配置事件发布,您必须先在应用程序 Web 界面中上传 SSH 公钥

在开始配置之前,确保您已启用 CEF 格式的事件导出

在您想要将事件发布到 SIEM 系统的每个集群节点上执行以下指令。

要配置将应用程序事件发布到 SIEM 系统:

  1. 在 root 账户下使用 SSH 私钥连接到 Kaspersky Secure Mail Gateway 虚拟机管理控制台。

    您将进入技术支持模式。

  2. 指定用于连接到承载 SIEM 系统的服务器的地址和端口。为此,请将以下几行添加到 /etc/rsyslog.conf 文件的末尾:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    <category (facility)>.* @@<IP address of the SIEM system>:<port used by the SIEM system to receive messages from Syslog over TCP>

    在对 /etc/rsyslog.conf 文件进行任何更改之前,建议您生成备份副本。编辑文件时出错可能会导致系统运行不正确。

  3. 重新启动 rsyslog 服务。为此,请运行以下命令:

    service rsyslog restart

将配置向 SIEM 系统发布应用程序事件。

Kaspersky Endpoint Security for Business Advanced: Adaptive security of your company
Web and device controls. Data encryption. Centralized and convenient management from a single console.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.