Exporter les journaux vers Syslog

ESET Remote Administratorest capable d'exporter certains journaux/événements puis de les envoyer vers votre serveur Syslog. Les événements comme ThreatEvent, Firewall Aggregated Event, HIPS Aggregated Event, etc. sont générés sur un ordinateur client exécutant un produit de sécurité ESET (par exemple ESET Endpoint Security). Ces événements peuvent être traités par n'importe quelle solution SIEM (Renseignements de sécurité et Gestion des événements) capable d'importer des événements à partir d'un serveur Syslog. Les événements sont écrits sur le serveur Syslog par ESET Remote Administrator.

Après avoir activé le serveur Syslog, naviguez jusqu'à Admin > Paramètres de serveur > Paramètres avancés > > Serveur Syslog > Journalisation et activez Exporter les journaux vers Syslog. Les messages d'événement sont formatés en format JSON (JavaScript Object Notation).

export_to_syslog

Événements exportés

Cette section présente les détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec des clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :

event_type

string

 

Types d'événements exportés : Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

IPv4

string

facultatif

Adresse IPv4 de l'ordinateur générant l'événement.

IPv6

string

facultatif

Adresse IPv6 de l'ordinateur générant l'événement.

source_uuid

string

 

UUID de l'ordinateur générant l'événement.

survenu

string

 

Temps universel coordonné de l'événement. Le format est %d-%b-%Y %H:%M:%S

gravité

string

 

Gravité de l'événement. Les valeurs possibles (en ordre croissant de gravité) sont : Information Notice Warning Error CriticalFatal

ThreatEvent

Tous les événements de menace générés par les terminaux seront transférés vers Syslog. Clé spécifique de l'événement de menace :

threat_type

string

facultatif

Type de menace

threat_name

string

facultatif

Nom de la menace

threat_flags

string

facultatif

Indicateurs liés à la menace

scanner_id

string

facultatif

Identifiant de l'analyseur

scan_id

string

facultatif

Identifiant de l'analyse

engine_version

string

facultatif

Version du moteur d'analyse

object_type

string

facultatif

Type d'objets liés a cet événement

object_uri

string

facultatif

URI de l’objet

action_taken

string

facultatif

Action entreprises par le Terminal

action_error

string

facultatif

Message d'erreur si l'« action » a échoué

threat_handled

bool

facultatif

Indique si la menace a été traitée ou non

need_restart

bool

facultatif

Si un redémarrage est nécessaire ou non

username

string

facultatif

Nom du compte d'utilisateur associé à l'événement

processname

string

facultatif

Nom du processus associé a l'événement

circumstances

string

facultatif

Brève description de la cause de l'événement

Événement cumulatif du coupe-feu

Les journaux des événements générés par ESET Personal Firewall sont cumulés par le gestionnaire ESET Remote Administrator Agent pour éviter de gaspiller de la bande passante pendant la reproduction d'Agent ERA/Serveur ERA. Clé spécifique de l'événement du coupe-feu :

event

string

facultatif

Nom de l'événement

source_address

string

facultatif

Adresse de la source de l'événement

source_address_type

string

facultatif

Type d'adresse de la source de l'événement

source_port

number

facultatif

Port de la source de l'événement

target_address

string

facultatif

Adresse de la destination de l'événement

target_address_type

string

facultatif

Type d'adresse de la destination de l'événement

target_port

number

facultatif

Port de la destination de l'événement

protocol

string

facultatif

Protocole

account

string

facultatif

Nom du compte d'utilisateur associé à l'événement

process_name

string

facultatif

Nom du processus associé a l'événement

rule_name

string

facultatif

Nom de la règle

rule_id

string

facultatif

Identifiant de la règle

inbound

bool

facultatif

Si la connexion était entrante ou non

threat_name

string

facultatif

Nom de la menace

aggregate_count

number

facultatif

Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre Serveur ERA et le gestionnaire Agent ERA.

Événement cumulatif HIPS

Les événements à partir du Système hôte de prévention des intrusions sont filtrés par gravité avant d'être envoyés par la suite en tant que messages Syslog. Seuls les événements avec des niveaux de gravité Erreur, Critique et Fatale sont envoyés vers Syslog. Les attributs spécifiques HIPS sont les suivants :

application

string

facultatif

Nom de l'application

operation

string

facultatif

Opération

target

string

facultatif

Cible

action

string

facultatif

Action

rule_name

string

facultatif

Nom de la règle

rule_id

string

facultatif

Identifiant de la règle

aggregate_count

number

facultatif

Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre Serveur ERA et le gestionnaire Agent ERA.