Перейти к основному содержимому
Версия: 4.5.X

Kaspersky Secure Mail Gateway

Настройка публикации событий

Для настройки публикации событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе программы

Перед началом настройки убедитесь, что Вы включили экспорт событий в формате CEF

Выполните инструкцию ниже на каждом узле кластера, события с которого Вы хотите публиковать в KOMRAD.

Перечень необходимых действий:

  1. Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим

    Technical Support Mode

  2. Укажите адрес и порт подключения к серверу с KOMRAD. Для этого добавьте в конец файла /etc/rsyslog.conf следующие строки:

    осторожно

    Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.

    $WorkDirectory /var/lib/rsyslog

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    <категория (facility)>.* @@<IP-адрес Komrad>:<порт, на котором Komrad принимает сообщения от Syslog по протоколу TCP>
    подсказка

    Не забудьте сохранить файл, нажав Ctrl + X и y

  3. Перезапустите службу rsyslog. Для этого выполните команду:

    sudo systemctl restart rsyslog
  4. Проверьте работоспособность rsyslog:

    sudo systemctl status rsyslog