Logs nach Syslog exportieren
ESET PROTECT On-Prem kann bestimmte Protokolle und Ereignisse an Ihren Syslog-Server exportieren. Ereignisse werden auf allen verwalteten Clientcomputern generiert, auf denen ESET-Anwendungen ausgeführt werden (z. B. ESET Endpoint Security). Diese Ereignisse können mit beliebigen SIEM (Security Information and Event Management)-Lösungen verarbeitet werden, die Ereignisse von einem Syslog-Server importieren können. ESET PROTECT On-Prem sendet die Ereignisse an den Syslog-Server.
Befolgen Sie die folgenden Schritte, um einen Syslog-Server zu konfigurieren:
1.Gehen Sie zu Mehr > Einstellungen > Exportieren > Syslog-Server hinzufügen.
Sie können bis zu fünf Syslog-Server konfigurieren. |
2.Aktivieren Sie den Umschalter Syslog-Einstellungen aktivieren, um Ereignisse zu senden, um den unten konfigurierten Syslog-Server zu aktivieren.
3.Wählen Sie in den Protokolleinstellungen die Protokollkategorien aus, aus denen die Ereignis-Logs auf den Syslog-Server exportiert werden sollen:
•Erkennung Konfigurieren Sie den ESET PROTECT-Server so, dass er die folgenden Ereignisse an Ihren Syslog-Server sendet: Virenschutz, Firewall, HIPS, Web-Schutz (gefilterte Websites), blockierte Dateien und ESET Inspect.
•Audit Konfigurieren Sie den ESET PROTECT-Server so, dass er Audit-Logs an Ihren Syslog-Server sendet.
•Benachrichtigung – Sie können festlegen, dass ESET PROTECT Server Benachrichtigungen an Ihren Syslog-Server schicken soll. Definieren Sie einen Filter in einer Kategorie für Benachrichtigungs-Logs, um die an Syslog gesendeten Ereignis-Logs zu filtern.
Sie können Syslog nicht für Benachrichtigungen zu anderen Ereignissen verwenden, da die Formate nicht kompatibel sind. Benachrichtigungen werden im Klartextformat versendet. |
Syslog-Benutzer haben Zugriff auf alle exportierten Protokolle. Alle Audit-Log-Nachrichten werden in Syslog exportiert. |
4.Geben Sie den Host an – IP-Adresse oder Hostname des Syslog-Servers.
5.Geben Sie die Portnummer ein – der Standardwert lautet 514.
6.Wählen Sie die Versionaus – BSD (Spezifikation) oder Syslog (Spezifikation).
7.Wählen Sie unter Format das Format für das Ereignis-Log aus:
Benachrichtigungen werden im Klartextformat versendet. |
•JSON (JavaScript Object Notation)
•CEF (Common Event Format) – ein Format, das von ArcSight.
•LEEF (Log Event Extended Format) - Format für die IBM-Anwendung QRadar.
8.Wähle das Transportprotokoll für den Versand von Nachrichten an Syslog (UDP, TCP, TLS)
9.Optional können Sie die Aktivierung der Octet-basierten Framing-Funktion durchführen. Bei Aktivierung dieser Option wird jeder über TLS übermittelten Syslog-Meldung ihre Länge in Oktetten (Bytes) vorangestellt, sodass das Empfängersystem die Länge der Meldung ermitteln kann (Spezifikation).
10. Klicken Sie auf Fertig stellen.
•Die reguläre Log-Datei für die Anwendung wird ständig aktualisiert. Syslog exportiert nur bestimmte asynchrone Ereignisse, wie zum Beispiel Benachrichtigungen oder verschiedene Ereignisse auf Client-Computern. •Um die Protokollierungsausführlichkeit anzupassen, klicken Sie auf Mehr > Einstellungen > Erweitert > Logging > Informationsumfang für Trace-Log. |
Unter Mehr > Einstellungen > Export können Sie die Liste der konfigurierten Syslog-Server einsehen und bearbeiten. Klicken Sie auf das Symbol mit den drei Punkten
neben dem konfigurierten Syslog-Server und wählen Sie Folgendes aus:
•
Bearbeiten—Bearbeiten Sie die Konfiguration des ausgewählten Syslog-Servers.
•
Löschen—Entfernen Sie die ausgewählte Syslog-Serverkonfiguration.