ESET PROTECT On-Prem – Obsah

Export protokolů do syslogu

ESET PROTECT On-Prem může exportovat určité protokoly a události na váš Syslog server. Události jsou generovány na každém spravovaném klientském zařízení, na kterém je spuštěna aplikace ESET (například ESET Endpoint Security). Tyto události lze zpracovat pomocí jakéhokoli řešení SIEM (Security Information and Event Management), které dokáže importovat události ze Syslog serveru. ESET PROTECT On-Prem odesílá události na Syslog server.

Při konfiguraci Syslog serveru postupujte podle následujících kroků:

1.Přejděte do sekce Více > Nastavení > Export > Přidat Syslog server.


Poznámka

Můžete nakonfigurovat až pět Syslog serverů.

2.Vyberte možnost Zapnutí nastavení syslogu pro odesílání událostí, abyste aktivovali níže nakonfigurovaný Syslog server.

3.V části Nastavení protokolů vyberte kategorie protokolů, ze kterých se budou protokoly událostí exportovat na server Syslog:

Detekce – nakonfigurujte ESET PROTECT Server tak, aby na Syslog server odesílal následující kategorie detekcí: Antivirus, Firewall, HIPS, Webová ochrana (filtrované webové stránky), Zablokované soubory a ESET Inspect.

Audit – nakonfigurujte ESET PROTECT Server tak, aby na Syslog server odesílal audit logy.

Oznámení – můžete ESET PROTECT nastavit tak, aby oznámení zasílal na váš Syslog server. V kategorii protokolu oznámení definujte filtr, pomocí kterého budete filtrovat protokoly událostí odesílané do Syslogu.


Poznámka

Na Syslog server nelze odesílat oznámení související s jinými událostmi, protože formáty nejsou kompatibilní. Oznámení jsou odesílána ve formátu prostého textu.


Důležité

Uživatelé Syslog serveru mají přístup ke všem exportovaným protokolům. Na syslog se exportují všechny záznamy z audit logu.

4.Zadejte hostitele – IP adresu nebo název hostitele Syslog serveru.

5.Zadejte číslo portu – výchozí hodnota je 514.

6.Vyberte verziBSD (specifikace) nebo Syslog (specifikace).

7.V části Formát vyberte formát protokolu událostí:


Poznámka

Oznámení jsou odesílána ve formátu prostého textu.

JSON (JavaScript Object Notation)

CEF (Common Event Format) – formát vyvinutý společností ArcSight.

LEEF (Log Event Extended Format) – formát používaný aplikací IBM QRadar

8.Vyberte Transportní protokol, prostřednictvím kterého budou zasílány zprávy na Syslog server (UDP, TCP, TLS).

9.Volitelně můžete zapnout Octet-counted framing. Je-li tato funkce zapnuta, před každou zprávu přenášenou do Syslogu přes TLS se vkládá její délka v oktetech (bajtech), což umožňuje přijímajícímu systému určit délku zprávy (specifikace).

10. Klikněte na tlačítko Dokončit.


Poznámka

Soubor protokolu spuštěné aplikace se průběžně aktualizuje. Syslog exportuje pouze určité asynchronní události, jako jsou například oznámení nebo různé události na klientském zařízení.

Chcete-li nastavit úroveň protokolování, klikněte na Více > Nastavení > Rozšířené > Protokolování > Zaznamenávat protokoly od úrovně.

V sekci Více > Nastavení > Export si můžete prohlédnout a upravit seznam nakonfigurovaných Syslog serverů. Klikněte na ikonu se třemi tečkami Další vedle nakonfigurovaného Syslog serveru a vyberte:

Změnit. Upravit – pro úpravu vybrané konfigurace Syslog serveru.

Odstranit. Odstranit – pro odstranění vybrané konfigurace Syslog serveru.