CEF 形式でのイベントのエクスポートを有効にする前に、 Kaspersky Web Traffic Security クラスターの各ノードに siem_logging_fixes.zip アップデートパッケージをインストールする必要があります。アップデートパッケージを入手するには、テクニカルサポートにお問い合わせください。
テクニカルサポートモードでイベントのエクスポートを有効にするには、まず製品の Web インターフェイスで SSH の公開鍵をアップロードし、SIEM システムへの製品イベントの発行を設定する必要があります。
CEF 形式でイベントをエクスポートするクラスターの各ノードで、以下の手順に従います。
CEF 形式でのイベントのエクスポートを設定するには:
Kaspersky Web Traffic Security が rpm または deb パッケージからインストールされた場合は、オペレーティングシステムのコマンドシェルを起動して、スーパーユーザー(システム管理者)権限でコマンドを実行します。
cp -p event_logger.json.template event_logger.json.template.backup
siemSettings
セクションで次の設定を指定します(JSON ファイルの構文と構造を必ず確認してください):"enabled": true,
"facility": "Local5",
"logLevel": "Info",
これは、クラスターノード間で設定を同期し、設定情報ファイルに加えられた変更を適用するために必要です。その後、編集した設定の以前の値を復元できます。
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings
応答に、手順 3 で指定した値の設定が含まれている必要があります。
CEF 形式でのイベントのエクスポートが設定されます。
CEF 形式でのイベントのエクスポートを無効にするには、上記の手順に従い、手順 3 で "enabled": false
と設定します。