CEF 形式でのイベントのエクスポートの設定

2023年11月21日

ID 151533

テクニカルサポートモードでイベントのエクスポートを有効にするには、先に本製品の Web インターフェイスに公開 SSH キーをアップロードする必要があります。

エクスポートしたイベントを含むファイルをサーバーにローカルに保存し、その公開情報を外部 SIEM システムに設定できます。ファイルをローカルに保存する必要がない場合は、このセクションの手順の 4 〜 7 をスキップできます。

CEF 形式でイベントをエクスポートしたいそれぞれのクラスタノードで、以下の手順を実行します。

CEF 形式でのイベントのエクスポートを設定するには:

  1. SSH 秘密鍵を使用して、root アカウントで Kaspersky Secure Mail Gateway 仮想マシン管理コンソールに接続します。

    テクニカルサポートモードに入ります。

  2. イベントエクスポート設定情報ファイル /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template に次の変更を加えます:
    • イベントのエクスポート先の Syslog カテゴリ(ファシリティ)を選択する場合は、[siemSettings]セクションのファシリティパラメータに次のいずれかの値を指定します。
      • Auth
      • Authpriv
      • Cron
      • Daemon
      • Ftp
      • Lpr
      • Mail
      • News
      • Syslog
      • User
      • Uucp
      • Local0
      • Local1
      • Local2
      • Local3
      • Local4
      • Local5
      • Local6
      • Local7

      サーバー上の他の製品に使用されない Syslog のカテゴリ(ファシリティ)を指定することを推奨します。

      既定値は local2 です。

    • 有効なパラメータ値を true に設定します。
    • logLevel パラメータに次のいずれかの値を設定して、エクスポート詳細の詳細レベルを指定します。
      • Error- エラーに関連するイベントをエクスポートします。
      • Info - すべてのイベントをエクスポートします。

        例:

        "siemSettings":

        {

        "enabled": true,

        "facility": "Local2",

        "logLevel": "Info",

        }

         

  3. /etc/rsyslog.conf ファイルで、文字列を変更します

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

    から

    *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<手順 2 で選択したファシリティ>.none /var/log/messages

  4. 設定情報ファイル /etc/rsyslog.conf に次の文字列を追加します:

    <手順 2 で選択したファシリティ>.* -/var/log/ksmg-cef-messages

  5. /var/log/ksmg-cef-messages ファイルを作成し、アクセス権を設定します。この操作には、次のコマンドを実行します:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  6. エクスポートされたイベントを含むファイルをローテーションするためのルールを設定します。この操作には、 /etc/logrotate.d/ksmg-syslog ファイルに次の文字列を追加します:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  7. rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:

    service rsyslog restart

  8. 本製品の Web インターフェイスの[設定]→[ログとイベント]→[イベント]セクションで、設定の値を変更し、[保存]をクリックします。

    クラスタノード間でパラメータを同期し、設定情報ファイルに加えられた変更を適用するには、これが必要です。その後、変更されたパラメータの元の値を復元できます。

これで CEF 形式のイベントのエクスポートが設定されました。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。