Seleccionar la pestaña
ESET PROTECT On-Prem – Tabla de contenido

Exportar registros a Syslog

ESET PROTECT On-Prem puede exportar determinados registros y eventos a su servidor Syslog. Eventos generados en cualquier equipo cliente administrado que ejecute una aplicación ESET (por ejemplo, ESET Endpoint Security). Estos eventos pueden ser procesados por cualquier solución Seguridad de la información y gestión de eventos (SIEM) que puede importar eventos desde un servidor Syslog. ESET PROTECT On-Prem envía los eventos al servidor Syslog.

Siga los pasos que se indican a continuación para configurar un servidor Syslog:

1.Vaya a Más > Configuración > Exportar > Agregar servidor Syslog.


Nota

Puede configurar hasta cinco servidores Syslog.

2.Habilite el botón de alternancia Habilitar la configuración de syslog para enviar eventos a fin de habilitar el servidor Syslog configurado a continuación.

3.En Configuración del registro, seleccione las categorías de registro desde las que se exportarán los registros de eventos al servidor Syslog:

Detección: configure el servidor ESET PROTECT para que envíe las siguientes categorías de detección al servidor Syslog: Antivirus, Firewall, HIPS, Protección web (sitios web filtrados), Archivos bloqueados y ESET Inspect.

Auditoría: configure el servidor ESET PROTECT para que envíe registros de auditoría a su servidor Syslog.

Notificación – Puede configurar al servidor ESET PROTECT para enviar Notificaciones a su servidor Syslog. Defina un filtro en una categoría de registro de notificaciones para filtrar los registros de eventos enviados a Syslog.


Nota

No puede usar Syslog para notificaciones con otros eventos, ya que los formatos no son compatibles. Las notificaciones se envían en texto sin formato.


IMPORTANTE

Los usuarios de syslog tienen acceso a todos los registros exportados. Todos los mensajes del registro de auditoría se exportan a Syslog.

4.Especifique el host: dirección IP o nombre de host del servidor Syslog.

5.Ingrese el número de puerto: el valor predeterminado es 514.

6.Seleccione la versión:BSD (especificación) o Syslog (especificación).

7.En Formato, seleccione el formato del registro de mensajes del evento:


Nota

Las notificaciones se envían en texto sin formato.

JSON (JavaScript Object Notation)

CEF (formato de evento común): formato desarrollado por ArcSight.

LEEF (formato extendido de evento de registro): formato utilizado por la aplicación QRadar de IBM.

8.Seleccione el protocolo de transporte para enviar mensajes a Syslog (UDP, TCP, TLS)

9.Opcionalmente, puede habilitar el marco de recuento de octetos. Cuando se habilita, cada mensaje Syslog que se transmite a través de TLS tiene el prefijo de longitud en octetos (bytes), lo que permite al sistema receptor determinar la longitud del mensaje (especificación).

10. Haga clic en Finalizar.


Nota

El archivo de registro de la aplicación normal se actualiza continuamente. Syslog exporta solo determinados eventos asincrónicos, como notificaciones o varios eventos del equipo cliente.

Para ajustar el nivel de detalle del registro, haga clic en Más > Configuración > Avanzada > Registro > Nivel de detalle del registro de seguimiento.

En Más > Configuración > Exportar, puede ver y editar la lista de servidores Syslog configurados. Haga clic en el ícono de tres puntosMásque se ubica junto al servidor Syslog configurado y seleccione lo siguiente:

Editar. Editar: edite la configuración del servidor Syslog seleccionada.

Eliminar. Eliminar: elimine la configuración del servidor Syslog seleccionada.