Kaspersky Secure Mail Gateway
Настройка публикации событий
Для настройки публикации событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе программы
Перед началом настройки убедитесь, что вы включили экспорт событий в формате CEF
Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите публиковать в KOMRAD.
Перечень необходимых действий:
1) Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode
2) Укажите адрес и порт подключения к серверу с KOMRAD. Для этого добавьте в конец файла /etc/rsyslog.conf следующие строки:
Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.
|
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<категория (facility)>.* @@<IP-адрес Komrad>:<порт, на котором Komrad принимает сообщения от Syslog по протоколу TCP>| Не забудьте сохранить файл, нажав Ctrl + X и y |
3) Перезапустите службу rsyslog. Для этого выполните команду:
sudo systemctl restart rsyslog4) Проверьте работоспособность rsyslog:
sudo systemctl status rsyslog