ESET PROTECT On-Prem – Inhaltsverzeichnis

Logs nach Syslog exportieren

ESET PROTECT On-Prem kann bestimmte Protokolle und Ereignisse an Ihren Syslog-Server exportieren. Ereignisse werden auf allen verwalteten Clientcomputern generiert, auf denen ESET-Anwendungen ausgeführt werden (z. B. ESET Endpoint Security). Diese Ereignisse können mit beliebigen SIEM (Security Information and Event Management)-Lösungen verarbeitet werden, die Ereignisse von einem Syslog-Server importieren können. ESET PROTECT On-Prem sendet die Ereignisse an den Syslog-Server.

Befolgen Sie die folgenden Schritte, um einen Syslog-Server zu konfigurieren:

1.Gehen Sie zu Mehr > Einstellungen > Exportieren > Syslog-Server hinzufügen.


Hinweis

Sie können bis zu fünf Syslog-Server konfigurieren.

2.Aktivieren Sie den Umschalter Syslog-Einstellungen aktivieren, um Ereignisse zu senden, um den unten konfigurierten Syslog-Server zu aktivieren.

3.Wählen Sie in den Protokolleinstellungen die Protokollkategorien aus, aus denen die Ereignis-Logs auf den Syslog-Server exportiert werden sollen:

Erkennung Konfigurieren Sie den ESET PROTECT-Server so, dass er die folgenden Ereignisse an Ihren Syslog-Server sendet: Virenschutz, Firewall, HIPS, Web-Schutz (gefilterte Websites), blockierte Dateien und ESET Inspect.

Audit Konfigurieren Sie den ESET PROTECT-Server so, dass er Audit-Logs an Ihren Syslog-Server sendet.

Benachrichtigung – Sie können festlegen, dass ESET PROTECT Server Benachrichtigungen an Ihren Syslog-Server schicken soll. Definieren Sie einen Filter in einer Kategorie für Benachrichtigungs-Logs, um die an Syslog gesendeten Ereignis-Logs zu filtern.


Hinweis

Sie können Syslog nicht für Benachrichtigungen zu anderen Ereignissen verwenden, da die Formate nicht kompatibel sind. Benachrichtigungen werden im Klartextformat versendet.


Wichtig

Syslog-Benutzer haben Zugriff auf alle exportierten Protokolle. Alle Audit-Log-Nachrichten werden in Syslog exportiert.

4.Geben Sie den Host an – IP-Adresse oder Hostname des Syslog-Servers.

5.Geben Sie die Portnummer ein – der Standardwert lautet 514.

6.Wählen Sie die Versionaus – BSD (Spezifikation) oder Syslog (Spezifikation).

7.Wählen Sie unter Format das Format für das Ereignis-Log aus:


Hinweis

Benachrichtigungen werden im Klartextformat versendet.

JSON (JavaScript Object Notation)

CEF (Common Event Format) – ein Format, das von ArcSight.

LEEF (Log Event Extended Format) - Format für die IBM-Anwendung QRadar.

8.Wähle das Transportprotokoll für den Versand von Nachrichten an Syslog (UDP, TCP, TLS)

9.Optional können Sie die Aktivierung der Octet-basierten Framing-Funktion durchführen. Bei Aktivierung dieser Option wird jeder über TLS übermittelten Syslog-Meldung ihre Länge in Oktetten (Bytes) vorangestellt, sodass das Empfängersystem die Länge der Meldung ermitteln kann (Spezifikation).

10. Klicken Sie auf Fertig stellen.


Hinweis

Die reguläre Log-Datei für die Anwendung wird ständig aktualisiert. Syslog exportiert nur bestimmte asynchrone Ereignisse, wie zum Beispiel Benachrichtigungen oder verschiedene Ereignisse auf Client-Computern.

Um die Protokollierungsausführlichkeit anzupassen, klicken Sie auf Mehr > Einstellungen > Erweitert > Logging > Informationsumfang für Trace-Log.

Unter Mehr > Einstellungen > Export können Sie die Liste der konfigurierten Syslog-Server einsehen und bearbeiten. Klicken Sie auf das Symbol mit den drei PunktenMehrneben dem konfigurierten Syslog-Server und wählen Sie Folgendes aus:

Bearbeiten. Bearbeiten—Bearbeiten Sie die Konfiguration des ausgewählten Syslog-Servers.

Löschen. Löschen—Entfernen Sie die ausgewählte Syslog-Serverkonfiguration.