Logs nach Syslog exportieren

ESET Remote Administrator kann bestimmte Logs/Events exportieren und an Ihren Syslog-Server schicken. Events wie ThreatEvent, Firewall Aggregated Event, HIPS Aggregated Event usw. werden auf einem verwalteten Clientcomputer generiert, auf dem ein ESET-Sicherheitsprodukt ausgeführt wird (z. B. ESET Endpoint Security). Diese Events können mit beliebigen SIEM (Security Information and Event Management)-Lösungen verarbeitet werden, die Events von einem Syslog-Server verarbeiten können. Die Events werden von ESET Remote Administrator zum Syslog-Server geschrieben.

Aktivieren Sie die Option Syslog-Server verwenden, navigieren Sie zu Admin > Servereinstellungen > Erweiterte Einstellungen > > Syslog-Server > Logging und aktivieren Sie die Option Logs nach Syslog exportieren. Die Ereignisnachrichten werden im JSON (JavaScript Object Notation)-Format ausgegeben.

export_to_syslog

Exportierte Events

Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Events. Die Eventnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Event enthält den folgenden Schlüssel:

event_type

string

 

Typ der exportierten Events: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

string

optional

IPv4-Adresse des Computers, der das Event generiert hat.

ipv6

string

optional

IPv6-Adresse des Computers, der das Event generiert hat.

source_uuid

string

 

UUID des Computers, der das Event generiert hat.

occurred

string

 

UTC-Zeitpunkt, zu dem das Event aufgetreten ist. Format: %d-%b-%Y %H:%M:%S

severity

string

 

Schweregrad des Events. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information Notice Warning Error Critical Fatal

ThreatEvent

Alle von verwalteten Endpunkten generierten Bedrohungs-Events werden an Syslog weitergeleitet. Spezifische Schlüssel für Bedrohungs-Events:

threat_type

string

optional

Bedrohungsart

threat_name

string

optional

Bedrohungsname

threat_flags

string

optional

Bedrohungsbezogene Flags

scanner_id

string

optional

Scanner-ID

scan_id

string

optional

Scan-ID

engine_version

string

optional

Version des Prüfmoduls

object_type

string

optional

Art des Objekts, auf sich das das Event bezieht

object_uri

string

optional

Objekt-URI

action_taken

string

optional

Auf dem Endpunkt ausgeführte Aktion

action_error

string

optional

Fehlermeldung, falls die Aktion nicht erfolgreich war

threat_handled

bool

optional

Gibt an, ob die Bedrohung abgewendet wurde

need_restart

bool

optional

Gibt an, ob ein Neustart erforderlich ist

Benutzername

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

circumstances

string

optional

Kurze Beschreibung der Ursache des Events

Firewall Aggregated Event

Die von ESET Personal Firewall generierten Event-Logs werden von dem verwaltenden ESET Remote Administrator Agent aggregiert, um die benötigte Bandbreite für die Replikation zwischen ERA Agent und ERA Server zu senken. Spezifische Schlüssel für Firewall-Events:

event

string

optional

Eventname

source_address

string

optional

Adresse der Eventquelle

source_address_type

string

optional

Art der Adresse der Eventquelle

source_port

Nummer

optional

Port der Eventquelle

target_address

string

optional

Adresse des Eventziels

target_address_type

string

optional

Art der Adresse des Eventziels

target_port

Nummer

optional

Port des Eventziels

protocol

string

optional

Protokoll

account

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

process_name

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

inbound

bool

optional

Gibt an, ob die Verbindung eingehend war

threat_name

string

optional

Bedrohungsname

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ERA Server und verwaltendem ERA Agent generiert wurden

HIPS Aggregated Event

Events aus dem Host-based Intrusion Prevention System werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. Nur Events der SchweregradenError, Critical und Fatal werden an Syslog weitergeleitet. HIPS-spezifische Attribute:

Anwendung

string

optional

Anwendungsname

operation

string

optional

Vorgang

target

string

optional

Ziel

action

string

optional

Aktion

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ERA Server und verwaltendem ERA Agent generiert wurden