Syslogovi

Kopirajte URL-a trenutačnog članka Podijelite putem e-pošte

Ovaj članak (PDF) Cjelokupna dokumentacija (PDF)

ESET Cloud Office Security može izvesti zabilježene događaje navedene u odjeljku Prijetnje i poslati ih na syslog server. Događaje možete izvesti za Exchange Online / Gmail, OneDrive / Google disk, grupe timova i SharePoint Online. Prema potrebi postavite više syslog izvoza; na primjer, možete imati jedan syslog za svakog klijenta ili bilo koju kombinaciju klijenata i događaja. Postojeće syslog izvoze možete aktivirati/deaktivirati tako da ih uredite.

Za dodavanje ili izmjenu syslog izvoza, slijedite ove korake:

1.Kliknite Novi syslog da biste otvorili predložak i odredili prilagođene postavke.

2.Upišite ime i omogućite prebacivanje statusa.

3.Odaberite klijente klikom na Odaberi i označite željene klijente.

4.Odaberite jedan od sljedećih formata za poruke događaja:

•CEF (Common Event Format)

•LEEF (Log Event Extended Format) – format koji upotrebljava IBM-ova aplikacija QRadar.

•JSON (JavaScript Object Notation)

•ECS (elastična zajednička shema) – v8.17 format

IP / naziv servera

Unesite IP/ime računala i podatke o vezi sa svojim syslog serverom.

Port

Unaprijed definirani priključak za vezu sa syslog serverom je 6514. Broj priključka možete promijeniti u rasponu od 6400 do 6600 tako da odgovara priključku vašeg syslog servera ako se razlikuje od 6514.

•Protokol prijenosa: TLS (potreban je važeći certifikat servera SSL/TLS koji izdaje pouzdani izdavatelj certifikata)

•Zadani TCP priključak: 6514

Zbog sigurnosnih preduvjeta za povezivanje sa syslog serverom postoje dodatni preduvjeti na syslog prijemnom serveru:

•IP adresa: Globalno usmjeriva IPv4 adresa

•IDN nazivi: Mora upotrebljavati ASCII prikaz ("xn--")

•FQDN Mora se prevesti na jednu fiksnu IPv4 adresu

Prekid dnevnika znakom novog retka

Aktivirajte ovu opciju da biste dodali znak novog retka () na kraju svake poruke syslog za pravilno zapisivanje u Logstash kada TCP veza ostane otvorena. U suprotnom, dnevnici će se pisati u jednom retku. U suprotnom, dnevnici će se pisati u jednom retku.

Dnevnik prijetnji

Odaberite događaje dnevnika koje želite izvesti na syslog server.

Neobavezna polja za dnevnike skeniranja

Odaberite polja koja želite uključiti u syslog poruke.

Slanje dnevnika provjere

Dnevnici provjere poslat će se kao dio dnevnika skeniranja. Osim toga, možete upotrijebiti opciju Pošalji probni dnevnik da biste zajamčili funkcionalnost.

Upotrijebi pouzdani certifikat

Za omogućavanje potvrde certifikata za vezu između vašeg Syslog servera i ESET Cloud Office Security. Nakon što omogućite potvrdu, prikazat će se novo tekstualno polje u kojem možete kopirati i zalijepiti potrebni lanac certifikata. Certifikat servera mora ispunjavati sljedeće uvjete:

•Cijeli lanac certifikata u PEM formatu učitava se i sprema u Syslog konfiguraciji izvoza (uključujući root CA, jer ne postoje ugrađeni vjerodostojni certifikati)

•Certifikat vašeg Syslog servera pruža ekstenziju Subject Alternative Name ()SAN) (DNS=/IP=), s barem jednim zapisom koji odgovara potpuno kvalificiranom nazivu domene (FQDN) ili IP adresi.

Dodatne sigurnosne postavke

Provjerite dopuštaju li postavke firewalla syslog servera povezivanje sa sljedećih IP adresa:

•Odlazna IP adresa s lokacije ESET Cloud Office Security u regiji SAD-a: 40.83.165.184

•Odlazna IP adresa s lokacije ESET Cloud Office Security u regiji EU-a: 51144165221

•Odlazna IP adresa s lokacije ESET Cloud Office Security u regiji DE: 4.184.182.90

•Odlazna IP adresa s lokacije ESET Cloud Office Security u regiji Središnje Kalifornije: 52.228.24.113

˄˅