Kaspersky Security Center 云控制台
标记要以 Syslog 格式导出到 SIEM 系统的事件
在启用自动导出事件后,您必须选择将被导出到外部 SIEM 系统的事件。
您可以配置基于以下条件之一导出 Syslog 格式的事件到外部系统:
- 标记常规事件。如果在事件设置或管理服务器设置中标记要在策略中导出的事件,SIEM 系统将接收由特定策略管理的所有应用程序中发生的所标记事件。如果导出的事件在策略中被选中,您将不能为由该策略管理的个别应用程序重新定义所选事件。
- 为受管理应用程序标记事件。如果为受管理设备上安装的受管理应用程序选择要导出的事件,SIEM 系统将仅接收该应用程序中发生的事件。
标记要以 Syslog 格式导出的 Kaspersky 应用程序事件
如果要导出受管理设备上安装的特定受管理应用程序中发生的事件,则标记事件为在应用程序策略中导出。在这种情况下,标记的事件将从策略范围内的所有设备中导出。
要为特定受管理应用程序标记要导出的事件:
- 在主菜单中,转到“资产(设备)”→“策略和配置文件”。
- 点击您要为其标记事件的应用程序的策略。
策略设置窗口打开。
- 转到“事件配置”区域。
- 选中要导出到 SIEM 系统的事件旁边的复选框。
- 单击“使用 Syslog 标记以导出到 SIEM 系统”按钮。
您也可以在“事件注册”区域中标记要导出到 SIEM 系统的事件,通过单击事件链接可打开该区域。
- 在您标记为导出到 SIEM 系统的一个或多个事件的“Syslog”列中会显示一个复选标记 (
)。
- 单击“保存”按钮。
受管理应用程序中的标记事件已准备好导出到 SIEM 系统。
您可以为特定受管理设备标记要导出到 SIEM 系统的事件。如果先前导出的事件已在应用程序策略中标记,您将不能为受管理设备重新定义所标记的事件。
要为受管理设备标记要导出的事件:
- 在主菜单中,转到“资产(设备)” → “受管理设备”。
将显示受管理设备列表。
- 在受管理设备列表中单击带有所需设备名称的链接。
将显示所选设备的属性窗口。
- 转到“应用程序”区域。
- 在应用程序列表中单击带有所需应用程序名称的链接。
- 转到“事件配置”区域。
- 选中要导出到 SIEM 的事件旁边的复选框。
- 单击“使用 Syslog 标记以导出到 SIEM 系统”按钮。
此外,还可以在“事件注册”区域中标记要导出到 SIEM 系统的事件,通过单击事件链接可打开该区域。
- 在您标记为导出到 SIEM 系统的一个或多个事件的“Syslog”列中会显示一个复选标记 (
)。
从现在开始,如果配置了到 SIEM 系统的导出,管理服务器会将标记的事件发送到 SIEM 系统。
标记要以 Syslog 格式导出的常规事件
您可以标记管理服务器将使用 Syslog 格式导出到 SIEM 系统的常规事件。
要标记常规事件以导出到 SIEM 系统:
- 执行以下操作之一:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 (
)。
- 在主菜单中,转到“资产(设备)”→“策略和配置文件”,然后单击某个策略的链接。
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 (
- 在打开的窗口中,转到“事件配置”选项卡。
- 单击“使用 Syslog 标记以导出到 SIEM 系统”。
此外,还可以在“事件注册”区域中标记要导出到 SIEM 系统的事件,通过单击事件链接可打开该区域。
- 在您标记为导出到 SIEM 系统的一个或多个事件的“Syslog”列中会显示一个复选标记 (
)。
从现在开始,如果配置了到 SIEM 系统的导出,管理服务器会将标记的事件发送到 SIEM 系统。