Configurando a exportação de eventos em formato CEF
26 de abril de 2024
ID 151533
Para ativar a exportação de eventos no modo suporte técnico, primeiramente é necessário carregar a chave SSH pública na interface web do aplicativo.
É possível salvar os arquivos contendo os eventos exportados localmente no servidor e configurar a publicação em um sistema SIEM externo. Caso seja necessário salvar os arquivos localmente, é possível ignorar as etapas 4 a 7 das instruções desta seção.
Execute as instruções abaixo em cada node do cluster cujos eventos deseja exportar no formato CEF.
Para configurar a exportação de eventos no formato CEF:
- Conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Secure Mail Gateway na conta raiz, usando uma chave SSH privada.
Você entrará no modo suporte técnico.
- Faça as seguintes alterações no arquivo de configuração de exportação de evento /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
- Se quiser selecionar a categoria Syslog (recurso) para a qual os eventos serão exportados, especifique um dos seguintes valores para o parâmetro
recurso
na seçãosiemSettings
:Auth
Authpriv
Cron
Daemon
Ftp
Lpr
Mail
News
Syslog
User
Uucp
Local0
Local1
Local2
Local3
Local4
Local5
Local6
Local7
Recomenda-se especificar uma categoria (recurso) para o Syslog que não seja usado por outros programas no servidor.
O valor padrão é
local2
. - Defina o valor do parâmetro
enabled
comotrue
. - Defina o nível de detalhe da exportação configurando um dos seguintes valores para o parâmetro
logLevel
:Error
– exporta eventos relacionados a erros.Info
– exportar todos os eventos.Exemplo:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
}
- Se quiser selecionar a categoria Syslog (recurso) para a qual os eventos serão exportados, especifique um dos seguintes valores para o parâmetro
- No arquivo /etc/rsyslog.conf, altere a string
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
para
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages
- Adicione a seguinte string ao arquivo /etc/rsyslog.conf:
<recurso selecionado na etapa 2>. * - / var / log / ksmg-cef-messages
- Cria o arquivo /var/log/ksmg-cef-messages e configure os direitos de acesso. Para fazer isso, execute os comandos:
toque em /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- Configure as regras arquivos em rotatividade contendo eventos exportados. Para fazer isso, adicione as seguintes strings ao arquivo /etc/logrotate.d/ksmg-syslog:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:
o serviço rsyslog é reiniciado
- Na interface web do aplicativo, em Configurações → Logs e eventos → Eventos, modifique o valor de qualquer parâmetro e clique em Salvar.
Isso é necessário para a sincronização de parâmetros entre os nodes do cluster e para a aplicação das alterações feitas no arquivo de configuração. Então, será possível restaurar o valor original de um parâmetro modificado.
A exportação de eventos no formato CEF está configurada agora.