Kaspersky Secure Mail Gateway

Настройка публикации событий

Для настройки публикации событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе программы

Перед началом настройки убедитесь, что Вы включили экспорт событий в формате CEF

Выполните инструкцию ниже на каждом узле кластера, события с которого Вы хотите публиковать в KOMRAD.

Перечень необходимых действий:

1. Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим

   Technical Support Mode

2. Укажите адрес и порт подключения к серверу с KOMRAD. Для этого добавьте в конец файла /etc/rsyslog.conf следующие строки:

   осторожно

   Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.

   $WorkDirectory /var/lib/rsyslog
   
   $ActionQueueFileName ForwardToSIEM
   
   $ActionQueueMaxDiskSpace 1g
   
   $ActionQueueSaveOnShutdown on
   
   $ActionQueueType LinkedList
   
   $ActionResumeRetryCount -1
   
   <категория (facility)>.* @@<IP-адрес Komrad>:<порт, на котором Komrad принимает сообщения от Syslog по протоколу TCP>
   подсказка

   Не забудьте сохранить файл, нажав Ctrl + X и y

3. Перезапустите службу rsyslog. Для этого выполните команду:

   sudo systemctl restart rsyslog

4. Проверьте работоспособность rsyslog:

   sudo systemctl status rsyslog