Configurando a exportação de eventos em formato CEF

23 de maio de 2024

ID 151533

Para ativar a exportação de eventos no modo suporte técnico, primeiramente é necessário carregar a chave SSH pública na interface web do aplicativo.

É possível salvar os arquivos contendo os eventos exportados localmente no servidor e configurar a publicação em um sistema SIEM externo. Caso seja necessário salvar os arquivos localmente, é possível ignorar as etapas 4 a 7 das instruções desta seção.

Execute as instruções abaixo em cada node do cluster cujos eventos deseja exportar no formato CEF.

Para configurar a exportação de eventos no formato CEF:

  1. Conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Secure Mail Gateway na conta raiz, usando uma chave SSH privada.

    Você entrará no modo suporte técnico.

  2. Faça as seguintes alterações no arquivo de configuração de exportação de evento /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
    • Se quiser selecionar a categoria Syslog (recurso) para a qual os eventos serão exportados, especifique um dos seguintes valores para o parâmetro recurso na seção siemSettings:
      • Auth
      • Authpriv
      • Cron
      • Daemon
      • Ftp
      • Lpr
      • Mail
      • News
      • Syslog
      • User
      • Uucp
      • Local0
      • Local1
      • Local2
      • Local3
      • Local4
      • Local5
      • Local6
      • Local7

      Recomenda-se especificar uma categoria (recurso) para o Syslog que não seja usado por outros programas no servidor.

      O valor padrão é local2.

    • Defina o valor do parâmetro enabled como true.
    • Defina o nível de detalhe da exportação configurando um dos seguintes valores para o parâmetro logLevel:
      • Error – exporta eventos relacionados a erros.
      • Info – exportar todos os eventos.

        Exemplo:

        "siemSettings":

        {

        "enabled": true,

        "facility": "Local2",

        "logLevel": "Info",

        }

         

  3. No arquivo /etc/rsyslog.conf, altere a string

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

    para

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages

  4. Adicione a seguinte string ao arquivo /etc/rsyslog.conf:

    <recurso selecionado na etapa 2>. * - / var / log / ksmg-cef-messages

  5. Cria o arquivo /var/log/ksmg-cef-messages e configure os direitos de acesso. Para fazer isso, execute os comandos:

    toque em /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  6. Configure as regras arquivos em rotatividade contendo eventos exportados. Para fazer isso, adicione as seguintes strings ao arquivo /etc/logrotate.d/ksmg-syslog:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  7. Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:

    o serviço rsyslog é reiniciado

  8. Na interface web do aplicativo, em ConfiguraçõesLogs e eventosEventos, modifique o valor de qualquer parâmetro e clique em Salvar.

    Isso é necessário para a sincronização de parâmetros entre os nodes do cluster e para a aplicação das alterações feitas no arquivo de configuração. Então, será possível restaurar o valor original de um parâmetro modificado.

A exportação de eventos no formato CEF está configurada agora.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.