配置将应用程序事件发布到 SIEM 系统

您可以配置将 CEF 格式的事件发布到外部 SIEM 系统，以及将事件本地保存在服务器上的日志文件中。

控制节点上保存的事件发布设置会传播到集群中的所有节点。仅在配置事件发布后才启用 CEF 格式的事件导出。

要发布审核事件，您还必须在审核日志设置中启用审核事件日志记录。

要配置将应用程序事件发布到 SIEM 系统：

1. 在应用程序 Web 界面窗口中，选择“设置”→“外部服务”→“远程日志记录”部分。
2. 如果您要在外部服务器上使用日志记录，请打开“使用远程日志记录”拨动开关。
3. 在“设施”下，选择要发送到 SIEM 系统的事件类别。可能的类别：
   • 安全审计日志 (authpriv)
   • 系统服务事件日志 (daemon)
   • 任务调度程序日志 (cron)
   • 内置 MTA 日志 (邮件)
   • Kaspersky Secure Mail Gateway 日志 (local1)
   • CEF 格式的 Kaspersky Secure Mail Gateway 日志 (local2)

   默认情况下，未选择任何类别。

4. 在“FQDN 或 IP 地址”字段中，输入 SIEM 服务器的地址。支持 IPv4 或 IPv6 地址。
5. 在“端口”字段中，输入用于连接 SIEM 系统的端口。可能的值：1 到 65535。

   默认值：TCP 为 601，UDP 为 514，TCP over TLS 为 6514。

6. 在“协议”下，选择向 SIEM 系统发送信息的协议。可能的值：
   • TCP
   • UDP
   • TCP over TLS

   默认情况下，“TCP over TLS”被选中。

7. 如果您选择了“TCP over TLS”， 在“身份验证”下，选择身份验证方法。可能的值：
   • CA 证书和 FQDN

     “FQDN 或 IP 地址”字段必须包含服务器证书中指定的地址。

   • 服务器证书指纹

   默认值为 CA 证书和 FQDN。

8. 如果您选择了“CA 证书和 FQDN”身份验证，为与 SIEM 系统的加密连接添加 TLS 证书。为此，在“CA 证书”下， 点击“浏览”，选择 PEM 格式的证书文件，点击“打开”。

   我们建议使用 RSA 密钥长度至少为 4096 位或 ECDSA 密钥长度至少为 256 位的证书。

9. 如果您选择了“服务器证书指纹”身份验证，在“服务器证书指纹”字段中，插入外部服务器证书的指纹值。

   在 Rocky Linux 上的 KSMG 中，我们建议使用 SHA256 指纹。
   在 RED OS 上的 KSMG 中，我们建议使用 SHA1 指纹。

10. 点击保存。

将配置向 SIEM 系统发布应用程序事件。

如果您导入了 TLS 证书，则在保存日志记录设置后，“证书指纹”字段显示证书指纹。

您可以通过点击“下载”下载证书。