Configurando a publicação de eventos de aplicativo para um sistema SIEM
26 de abril de 2024
ID 218660
Para configurar a publicação de eventos no modo de suporte técnico, primeiramente é necessário carregar a chave SSH pública na interface web do aplicativo.
Antes de iniciar a configuração, certifique-se de ter ativado a exportação de eventos no formato CEF.
Execute as instruções abaixo em cada node do cluster cujos eventos se deseja publicar em um sistema SIEM.
Para configurar a publicação de eventos de aplicativo em um sistema SIEM:
- Conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Secure Mail Gateway na conta raiz, usando uma chave SSH privada.
Você entrará no modo suporte técnico.
- Especifique o endereço e a porta para se conectar ao servidor que hospeda o sistema SIEM. Para fazer isso, adicione as seguintes linhas ao final do arquivo /etc/rsyslog.conf:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<categoria (recurso)>. * @@<endereço IP do sistema SIEM>: <porta usada pelo sistema SIEM para receber as mensagens do Syslog pelo TCP>
Antes de fazer qualquer alteração no arquivo /etc/rsyslog.conf, é recomendável fazer uma cópia de backup. Um erro durante a edição do arquivo pode fazer com que o sistema funcione incorretamente.
- Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:
o serviço rsyslog é reiniciado
A publicação dos eventos do aplicativo para o sistema SIEM será configurada.