SIEM システムへの製品イベントの公開の設定
SIEM システムへの製品イベントの公開の設定
2024年4月26日
ID 218660
テクニカルサポートモードでイベントの公開を設定するには、最初に本製品の Web インターフェイスに SSH 公開鍵をアップロードする必要があります。
設定を始める前に、CEF 形式でのイベントのエクスポートが有効になっていることを確認してください。
SIEM システムにイベントを公開したいそれぞれのクラスタノードで、以下の手順を実行します。
SIEM システムへの製品イベントの公開を設定するには:
- SSH 秘密鍵を使用して、root アカウントで Kaspersky Secure Mail Gateway 仮想マシン管理コンソールに接続します。
テクニカルサポートモードに入ります。
- SIEM システムをホストしているサーバーに接続するためのアドレスとポートを指定します。この操作には、/etc/rsyslog.conf ファイルの最後に次の行を追加します。
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<カテゴリ(ファシリティ)>.* @@<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>
/etc/rsyslog.conf ファイルに変更を加える前に、バックアップコピーを作成することを推奨します。ファイルの編集中にエラーが発生すると、システムが正しく動作しなくなる可能性があります。
- rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:
service rsyslog restart
SIEM システムへの製品イベントの公開が設定されます。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。