CEF 形式でのイベントのエクスポートの設定
2024年7月3日
ID 151533
テクニカルサポートモードでイベントのエクスポートを有効にするには、先に本製品の Web インターフェイスに公開 SSH キーをアップロードする必要があります。
エクスポートしたイベントを含むファイルをサーバーにローカルに保存し、その公開情報を外部 SIEM システムに設定できます。ファイルをローカルに保存する必要がない場合は、このセクションの手順の 4 〜 7 をスキップできます。
CEF 形式でイベントをエクスポートしたいそれぞれのクラスタノードで、以下の手順を実行します。
CEF 形式でのイベントのエクスポートを設定するには:
- SSH 秘密鍵を使用して、root アカウントで Kaspersky Secure Mail Gateway 仮想マシン管理コンソールに接続します。
テクニカルサポートモードに入ります。
- イベントエクスポート設定情報ファイル /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template に次の変更を加えます:
- イベントのエクスポート先の Syslog カテゴリ(ファシリティ)を選択する場合は、[
siemSettings
]セクションのファシリティ
パラメータに次のいずれかの値を指定します。Auth
Authpriv
Cron
Daemon
Ftp
Lpr
Mail
News
Syslog
User
Uucp
Local0
Local1
Local2
Local3
Local4
Local5
Local6
Local7
サーバー上の他の製品に使用されない Syslog のカテゴリ(ファシリティ)を指定することを推奨します。
既定値は
local2
です。 有効な
パラメータ値をtrue
に設定します。logLevel
パラメータに次のいずれかの値を設定して、エクスポート詳細の詳細レベルを指定します。Error
- エラーに関連するイベントをエクスポートします。Info
- すべてのイベントをエクスポートします。例:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
}
- イベントのエクスポート先の Syslog カテゴリ(ファシリティ)を選択する場合は、[
- /etc/rsyslog.conf ファイルで、文字列を変更します
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
から
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<手順 2 で選択したファシリティ>.none /var/log/messages
- 設定情報ファイル /etc/rsyslog.conf に次の文字列を追加します:
<手順 2 で選択したファシリティ>.* -/var/log/ksmg-cef-messages
- /var/log/ksmg-cef-messages ファイルを作成し、アクセス権を設定します。この操作には、次のコマンドを実行します:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- エクスポートされたイベントを含むファイルをローテーションするためのルールを設定します。この操作には、 /etc/logrotate.d/ksmg-syslog ファイルに次の文字列を追加します:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:
service rsyslog restart
- 本製品の Web インターフェイスの[設定]→[ログとイベント]→[イベント]セクションで、設定の値を変更し、[保存]をクリックします。
クラスタノード間でパラメータを同期し、設定情報ファイルに加えられた変更を適用するには、これが必要です。その後、変更されたパラメータの元の値を復元できます。
これで CEF 形式のイベントのエクスポートが設定されました。