Kaspersky Secure Mail Gateway
Настройка публикации событий
Для настройки публ икации событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе программы
Перед началом настройки убедитесь, что Вы включили экспорт событий в формате CEF
Выполните инструкцию ниже на каждом узле кластера, события с которого Вы хотите публиковать в KOMRAD.
Перечень необходимых действий:
-
Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью
root
, используя закрытый ключ SSH. Вы войдете в режимTechnical Support Mode
-
Укажите адрес и порт подключения к серверу с KOMRAD. Для этого добавьте в конец файла
/etc/rsyslog.conf
следующие строки:осторожноПеред внесением изменений в файл
/etc/rsyslog.conf
рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<категория (facility)>.* @@<IP-адрес Komrad>:<порт, на котором Komrad принимает сообщения от Syslog по протоколу TCP>подсказкаНе забудьте сохранить файл, нажав
Ctrl + X и y
-
Перезапустите службу
rsyslog
. Для этого выполните команду:sudo systemctl restart rsyslog
-
Проверьте работоспособность
rsyslog
:sudo systemctl status rsyslog