Bevor Sie den Export von Ereignissen im CEF-Format aktivieren, müssen Sie das Update-Paket siem_logging_fixes.zip auf jedem Cluster-Knoten von Kaspersky Web Traffic Security installieren. Das Update-Paket ist auf Anfrage beim Technischen Support erhältlich.
Um den Export von Ereignissen im Technical Support Mode zu aktivieren, müssen Sie zunächst den öffentlichen SSH-Schlüssel in der Weboberfläche des Programms hochladen und die Ausgabe von Programmereignissen in ein SIEM-System konfigurieren.
Führen Sie die folgenden Anweisungen für jeden Cluster-Knoten aus, von dem Sie die Ereignisse im CEF-Format exportieren möchten.
So konfigurieren Sie den Export von Ereignissen im CEF-Format:
Wenn Kaspersky Web Traffic Security aus einem RPM- oder Deb-Paket installiert wurde, starten Sie die Befehls-Shell des Betriebssystems, um darin als Superuser (Systemadministrator) Befehle auszuführen.
cp -p event_logger.json.template event_logger.json.template.backup
siemSettings
an:"enabled": true,
"facility": "Local5",
"logLevel": "Info",
Dies ist erforderlich, um die Einstellungen zwischen den Cluster-Knoten zu synchronisieren und die an der Konfigurationsdatei vorgenommene Änderungen zu übernehmen. Anschließend können Sie den geänderten Parameter auf seinen ursprünglichen Wert zurücksetzen.
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
Die Ausgabe sollte die Schritt 3 angegebenen Parameter mit ihren Werten enthalten.
Der Export von Ereignissen im CEF-Format ist konfiguriert.
Wenn Sie den Export von Ereignissen im CEF-Format deaktivieren möchten, befolgen Sie die oben genannten Schritte und geben Sie in Schritt 3 den Parameter "enabled": false
an.