Экспорт системных журналов
ESET Cloud Office Security позволяет экспортировать зарегистрированные в журнале события из раздела Обнаружения и отправлять их на сервер системного журнала. Вы можете экспортировать события для служб Exchange Online/Gmail, OneDrive/Google Диск, командных групп и SharePoint Online. При необходимости настройте несколько вариантов экспорта системного журнала. Например, можно сделать один системный журнал для каждого арендатора или любой комбинации арендаторов и событий. Вы можете активировать/деактивировать существующие варианты экспорта системного журнала путем их редактирования.
Вы можете добавить новый системный журнал или изменить существующий журнал и его настройки.
1.Щелкните Добавить системный журнал, чтобы открыть шаблон и указать пользовательские настройки. Введите имя отчета.
2.Щелкните для системного журнала Включено.
3.Выберите один из следующих форматов для сообщений о событиях:
•CEF (Common Event Format — общий формат событий).
•LEEF (Log Event Extended Format — расширенный формат событий журнала) — формат, используемый приложением QRadar от IBM.
•JSON (JavaScript Object Notation — нотация объектов JavaScript).
IP-адрес/имя хоста
Введите данные для подключения к серверу системного журнала.
Порт
Предварительно заданный порт для подключения к серверу системного журнала — 6514. Вы можете задать для номера порта значение в диапазоне 6400–6600, чтобы оно соответствовало порту вашего сервера системного журнала, если он отличается от 6514.
•Транспортный протокол: TLS (требуется действительный сертификат сервера SSL/TLS, выданный доверенным центром сертификации).
•TCP-порт по умолчанию: 6514
В связи с требованиями безопасности, которые предъявляются к соединению с сервером системного журнала, на принимающем сервере системного журнала предусмотрены дополнительные требования:
•IP-адрес: глобально маршрутизируемый IPv4-адрес.
•IDN-имена: необходимо использовать ASCII-представление («xn--»).
•FQDN необходимо преобразование в один фиксированный IPv4-адрес.
Выбор арендаторов
Щелкните Выбрать и с помощью флажков выберите арендаторов, для которых нужно получать события.
Журнал обнаружений
Выберите события журнала, которые нужно экспортировать на сервер системного журнала.
Необязательные поля для журналов сканирования
Выберите поля, которые нужно добавить в сообщения системного журнала.
Отправлять журналы аудита
Журналы аудита будут отправляться как часть журналов сканирования. Кроме того, с помощью функции Отправить тестовый журнал можно проверить работоспособность.
Дополнительные настройки безопасности
Настройки файервола на сервере системного журнала должны разрешать подключение со следующих IP-адресов:
•Исходящий IP-адрес ESET Cloud Office Security в регионе США: 40.83.165.184
•Исходящий IP-адрес ESET Cloud Office Security в регионе ЕС: 51144165221
•Исходящий IP-адрес ESET Cloud Office Security в регионе Канады: 52.228.24.113