Kaspersky Secure Mail Gateway
Настройка публикации событий
Для настройки публикации событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе программы
Перед началом настройки убедитесь, что Вы включили экспорт событий в формате CEF
Выполните инструкцию ниже на каждом узле кластера, события с которого Вы хотите публиковать в KOMRAD.
Перечень необходимых действий:
-
Подключитесь к консоли управления виртуа�льной машиной Kaspersky Secure Mail Gateway под учетной записью
root, используя закрытый ключ SSH. Вы войдете в режимTechnical Support Mode -
Укажите адрес и порт подключения к серверу с KOMRAD. Для этого добавьте в конец файла
/etc/rsyslog.confследующие строки:осторожноПеред внесением изменений в файл
/etc/rsyslog.confрекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<категория (facility)>.* @@<IP-адрес Komrad>:<порт, на котором Komrad принимает сообщения от Syslog по протоколу TCP>подсказкаНе забудьте сохранить файл, нажав
Ctrl + X и y -
Перезапустите службу
rsyslog. Для этого выполните команду:sudo systemctl restart rsyslog -
Проверьте работоспособность
rsyslog:sudo systemctl status rsyslog