SIEM システムへの製品イベントの公開の設定

2023年11月21日

ID 218660

テクニカルサポートモードでイベントの公開を設定するには、最初に本製品の Web インターフェイスに SSH 公開鍵をアップロードする必要があります。

設定を始める前に、CEF 形式でのイベントのエクスポートが有効になっていることを確認してください。

SIEM システムにイベントを公開したいそれぞれのクラスタノードで、以下の手順を実行します。

SIEM システムへの製品イベントの公開を設定するには:

  1. SSH 秘密鍵を使用して、root アカウントで Kaspersky Secure Mail Gateway 仮想マシン管理コンソールに接続します。

    テクニカルサポートモードに入ります。

  2. SIEM システムをホストしているサーバーに接続するためのアドレスとポートを指定します。この操作には、/etc/rsyslog.conf ファイルの最後に次の行を追加します。

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    <カテゴリ(ファシリティ)>.* @@<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>

    /etc/rsyslog.conf ファイルに変更を加える前に、バックアップコピーを作成することを推奨します。ファイルの編集中にエラーが発生すると、システムが正しく動作しなくなる可能性があります。

  3. rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:

    service rsyslog restart

SIEM システムへの製品イベントの公開が設定されます。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。