Configurando a exportação de eventos no formato CEF
3 de julho de 2024
ID 267198
Antes de ativar a exportação de eventos no formato CEF, você deve instalar o pacote de atualização siem_logging_fixes.zip em cada node do cluster do Kaspersky Web Traffic Security . Contate o Suporte Técnico para obter o pacote de atualização.
Para ativar a exportação de eventos no Modo de Suporte Técnico, você deve primeiro carregar a chave pública SSH na interface da Web do aplicativo e configurar a publicação de eventos do aplicativo no sistema SIEM.
Siga as etapas abaixo em cada node do cluster do qual você deseja exportar eventos no formato CEF.
Para configurar a exportação de eventos no formato CEF:
- Se o Kaspersky Web Traffic Security tiver sido instalado de um arquivo ISO, conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Web Traffic Security sob a conta raiz usando a chave privada SSH. Isso leva você ao Modo de Suporte Técnico.
Se o Kaspersky Web Traffic Security tiver sido instalado de um pacote RPM ou DEB, inicie o shell de comando do sistema operacional para executar comandos com permissões de superusuário (administrador do sistema).
- Vá para o diretório /opt/kaspersky/kwts/share/templates/core_settings e crie uma cópia de backup do arquivo event_logger.json.template:
cp -p event_logger.json.template event_logger.json.template.backup
- Abra o arquivo event_logger.json.template para edição e especifique as seguintes configurações na seção
siemSettings
(certifique-se de observar a sintaxe e a estrutura do arquivo JSON):"enabled": true,
"facility": "Local5",
"logLevel": "Info",
- Na interface da Web do aplicativo, na seçãoConfigurações →Logs e eventos, edite o valor de qualquer configuração e clique emSalvar.
Isso é necessário para sincronizar as configurações entre os nodes do cluster e aplicar as alterações feitas no arquivo de configuração. Você pode então restaurar o valor anterior da configuração editada.
- Certifique-se de que as alterações foram aplicadas:
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
A resposta deve conter as configurações com os valores especificados na etapa 3.
A exportação de eventos no formato CEF está configurada.
Se você quiser desativar a exportação de eventos no formato CEF, siga as etapas das instruções acima e, na etapa 3, defina "enabled": false
.