SIEM システムへの製品イベント公開の設定

テクニカルサポートモードでイベントの発行を設定するには、まず製品の Web インターフェイスで SSH の公開鍵をアップロードする必要があります。

SIEM システムにイベントを発行するクラスターの各ノードで、以下の手順に従います。CEF 形式でのイベントのエクスポートを有効にするのは、必ずイベントの発行を設定した後にしてください。

SIEM システムへの製品イベントの発行を設定するには：

1. Kaspersky Web Traffic Security が ISO ファイルからインストールされた場合は、SSH の秘密鍵を使用して root アカウントで Kaspersky Web Traffic Security 仮想マシンの管理コンソールに接続します。これにより、テクニカルサポートモードに変わります。

   Kaspersky Web Traffic Security が rpm または deb パッケージからインストールされた場合は、オペレーティングシステムのコマンドシェルを起動して、スーパーユーザー（システム管理者）権限でコマンドを実行します。

2. イベントは、rsyslog システムログサービスを使用して外部 SIEM システムに送信されます。サービスがインストールされ、実行されていることを確認するには、次のコマンドを実行します：

   systemctl status rsyslog

   サービスのステータスが running である必要があります。

   rsyslog サービスが実行されていないかインストールされていない場合は、オペレーティングシステムのマニュアルに従って rsyslog サービスをインストールし、有効にしてください。

3. SIEM システムでサーバーに接続するためのアドレスとポートを指定します。これを行うには、/etc/rsyslog.d/kwts-cef-messages.conf ファイルを作成し、次の行を追加します：

   $ActionQueueFileName ForwardToSIEM5

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local5.*@@<SIEM システムの IP アドレス>:<SIEM システムが TCP プロトコル経由で Syslog からメッセージを受信するポート>

   local5.* stop

   例： $ActionQueueFileName ForwardToSIEM5 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local5.* @@10.16.32.64:514 local5.* stop

4. rsyslog サービスを再起動します。この操作には、次のコマンドを実行します：

   systemctl restart rsyslog

5. 次のコマンドを使用して、rsyslog サービスのステータスを確認します：

   systemctl status rsyslog

   ステータスが running である必要があります。

6. テストメッセージを SIEM システムに送信します。

   logger -p local5.info テストメッセージ

SIEM システムへの製品イベントの発行が設定されます。