CEF 形式でのイベントエクスポートの設定

CEF 形式でのイベントのエクスポートを有効にする前に、 Kaspersky Web Traffic Security クラスターの各ノードに siem_logging_fixes.zip アップデートパッケージをインストールする必要があります。アップデートパッケージを入手するには、テクニカルサポートにお問い合わせください。

テクニカルサポートモードでイベントのエクスポートを有効にするには、まず製品の Web インターフェイスで SSH の公開鍵をアップロードし、SIEM システムへの製品イベントの発行を設定する必要があります。

CEF 形式でイベントをエクスポートするクラスターの各ノードで、以下の手順に従います。

CEF 形式でのイベントのエクスポートを設定するには：

1. Kaspersky Web Traffic Security が ISO ファイルからインストールされた場合は、SSH の秘密鍵を使用して root アカウントで Kaspersky Web Traffic Security 仮想マシンの管理コンソールに接続します。これにより、テクニカルサポートモードに変わります。

   Kaspersky Web Traffic Security が rpm または deb パッケージからインストールされた場合は、オペレーティングシステムのコマンドシェルを起動して、スーパーユーザー（システム管理者）権限でコマンドを実行します。

2. ディレクトリ /opt/kaspersky/kwts/share/templates/core_settings に移動して、event_logger.json.template ファイルのバックアップコピーを作成します。

   cp -p event_logger.json.template event_logger.json.template.backup

3. event_logger.json.template ファイルを編集のために開き、 siemSettings セクションで次の設定を指定します（JSON ファイルの構文と構造を必ず確認してください）：

   "enabled": true,

   "facility": "Local5",

   "logLevel": "Info",

4. 製品の Web インターフェイスの［設定］-［ログとイベント］セクションで、任意の設定の値を編集し、［保存］をクリックします。

   これは、クラスターノード間で設定を同期し、設定情報ファイルに加えられた変更を適用するために必要です。その後、編集した設定の以前の値を復元できます。

5. 変更が適用されていることを確認します：

   /opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings

   応答に、手順 3 で指定した値の設定が含まれている必要があります。

CEF 形式でのイベントのエクスポートが設定されます。

CEF 形式でのイベントのエクスポートを無効にするには、上記の手順に従い、手順 3 で "enabled": false と設定します。