SIEM システムへの製品イベント公開の設定
2023年12月13日
ID 267199
テクニカルサポートモードでイベントの発行を設定するには、まず製品の Web インターフェイスで SSH の公開鍵をアップロードする必要があります。
SIEM システムにイベントを発行するクラスターの各ノードで、以下の手順に従います。CEF 形式でのイベントのエクスポートを有効にするのは、必ずイベントの発行を設定した後にしてください。
SIEM システムへの製品イベントの発行を設定するには:
- Kaspersky Web Traffic Security が ISO ファイルからインストールされた場合は、SSH の秘密鍵を使用して root アカウントで Kaspersky Web Traffic Security 仮想マシンの管理コンソールに接続します。これにより、テクニカルサポートモードに変わります。
Kaspersky Web Traffic Security が rpm または deb パッケージからインストールされた場合は、オペレーティングシステムのコマンドシェルを起動して、スーパーユーザー(システム管理者)権限でコマンドを実行します。
- イベントは、rsyslog システムログサービスを使用して外部 SIEM システムに送信されます。サービスがインストールされ、実行されていることを確認するには、次のコマンドを実行します:
systemctl status rsyslog
サービスのステータスが
running
である必要があります。rsyslog サービスが実行されていないかインストールされていない場合は、オペレーティングシステムのマニュアルに従って rsyslog サービスをインストールし、有効にしてください。
- SIEM システムでサーバーに接続するためのアドレスとポートを指定します。これを行うには、/etc/rsyslog.d/kwts-cef-messages.conf ファイルを作成し、次の行を追加します:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.*@@<SIEM システムの IP アドレス>:<SIEM システムが TCP プロトコル経由で Syslog からメッセージを受信するポート>
local5.* stop
例:
$ActionQueueFileName ForwardToSIEM5
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local5.* @@10.16.32.64:514
local5.* stop
- rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:
systemctl restart rsyslog
- 次のコマンドを使用して、rsyslog サービスのステータスを確認します:
systemctl status rsyslog
ステータスが
running
である必要があります。 - テストメッセージを SIEM システムに送信します。
logger -p local5.info テストメッセージ
SIEM システムへの製品イベントの発行が設定されます。