CEF 形式でのイベントエクスポートの設定
2024年7月3日
ID 267198
CEF 形式でのイベントのエクスポートを有効にする前に、 Kaspersky Web Traffic Security クラスターの各ノードに siem_logging_fixes.zip アップデートパッケージをインストールする必要があります。アップデートパッケージを入手するには、テクニカルサポートにお問い合わせください。
テクニカルサポートモードでイベントのエクスポートを有効にするには、まず製品の Web インターフェイスで SSH の公開鍵をアップロードし、SIEM システムへの製品イベントの発行を設定する必要があります。
CEF 形式でイベントをエクスポートするクラスターの各ノードで、以下の手順に従います。
CEF 形式でのイベントのエクスポートを設定するには:
- Kaspersky Web Traffic Security が ISO ファイルからインストールされた場合は、SSH の秘密鍵を使用して root アカウントで Kaspersky Web Traffic Security 仮想マシンの管理コンソールに接続します。これにより、テクニカルサポートモードに変わります。
Kaspersky Web Traffic Security が rpm または deb パッケージからインストールされた場合は、オペレーティングシステムのコマンドシェルを起動して、スーパーユーザー(システム管理者)権限でコマンドを実行します。
- ディレクトリ /opt/kaspersky/kwts/share/templates/core_settings に移動して、event_logger.json.template ファイルのバックアップコピーを作成します。
cp -p event_logger.json.template event_logger.json.template.backup
- event_logger.json.template ファイルを編集のために開き、
siemSettings
セクションで次の設定を指定します(JSON ファイルの構文と構造を必ず確認してください):"enabled": true,
"facility": "Local5",
"logLevel": "Info",
- 製品の Web インターフェイスの[設定]-[ログとイベント]セクションで、任意の設定の値を編集し、[保存]をクリックします。
これは、クラスターノード間で設定を同期し、設定情報ファイルに加えられた変更を適用するために必要です。その後、編集した設定の以前の値を復元できます。
- 変更が適用されていることを確認します:
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
応答に、手順 3 で指定した値の設定が含まれている必要があります。
CEF 形式でのイベントのエクスポートが設定されます。
CEF 形式でのイベントのエクスポートを無効にするには、上記の手順に従い、手順 3 で "enabled": false
と設定します。