Kaspersky Secure Mail Gateway

SIEM システムへの製品イベントの公開の設定

テクニカルサポートモードでイベントの公開を設定するには、最初に本製品の Web インターフェイスに SSH 公開鍵をアップロードする必要があります。

設定を始める前に、CEF 形式でのイベントのエクスポートが有効になっていることを確認してください。

SIEM システムにイベントを公開したいそれぞれのクラスタノードで、以下の手順を実行します。

SIEM システムへの製品イベントの公開を設定するには：

1. SSH 秘密鍵を使用して、root アカウントで Kaspersky Secure Mail Gateway 仮想マシン管理コンソールに接続します。

   テクニカルサポートモードに入ります。

2. SIEM システムをホストしているサーバーに接続するためのアドレスとポートを指定します。この操作には、/etc/rsyslog.conf ファイルの最後に次の行を追加します。

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <カテゴリ（ファシリティ）>.* @@<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>

   /etc/rsyslog.conf ファイルに変更を加える前に、バックアップコピーを作成することを推奨します。ファイルの編集中にエラーが発生すると、システムが正しく動作しなくなる可能性があります。

3. rsyslog サービスを再起動します。この操作には、次のコマンドを実行します：

   service rsyslog restart

SIEM システムへの製品イベントの公開が設定されます。