Εξαγωγή αρχείων καταγραφής στο Syslog
Το ESET PROTECT On-Prem μπορεί να εξάγει ορισμένα αρχεία καταγραφής και συμβάντα στον διακομιστή Syslog. Τα συμβάντα δημιουργούνται σε οποιονδήποτε διαχειριζόμενο υπολογιστή-πελάτη που εκτελεί εφαρμογή της ESET (για παράδειγμα, το ESET Endpoint Security). Αυτά τα συμβάντα μπορούν να υποβληθούν σε επεξεργασία από οποιαδήποτε λύση SIEM (Security Information and Event Management) που μπορεί να εισάγει συμβάντα από διακομιστή Syslog. Το ESET PROTECT On-Prem αποστέλλει τα συμβάντα στον διακομιστή Syslog.
Ακολουθήστε τα παρακάτω βήματα για να ρυθμίσετε τις παραμέτρους ενός διακομιστή Syslog:
1.Μεταβείτε στα στοιχεία Περισσότερα > Ρυθμίσεις > Εξαγωγή > Προσθήκη διακομιστή Syslog.
Μπορείτε να πραγματοποιήσετε ρύθμιση παραμέτρων σε έως και πέντε διακομιστές Syslog. |
2.Ενεργοποιήστε την εναλλαγή Ενεργοποίηση ρυθμίσεων syslog για αποστολή συμβάντων για να ενεργοποιήσετε τον διακομιστή Syslog του οποίου τις παραμέτρους θα ρυθμίσετε παρακάτω.
3.Στο στοιχείο Ρυθμίσεις αρχείου καταγραφής, επιλέξτε τις κατηγορίες αρχείων καταγραφής από τις οποίες θα εξαχθούν τα αρχεία καταγραφής συμβάντων στο διακομιστή Syslog:
•Ανίχνευση – Ρυθμίστε τις παραμέτρους του διακομιστή ESET PROTECT για να αποστέλλει τις ακόλουθες κατηγορίες ανίχνευσης στον διακομιστή Syslog: Antivirus, Τείχος προστασίας, HIPS, Προστασία στο διαδίκτυο (φιλτραρισμένοι ιστότοποι), Αποκλεισμένα αρχεία και ESET Inspect.
•Έλεγχος – Ρυθμίστε τις παραμέτρους του διακομιστή ESET PROTECT για να αποστέλλονται αρχεία καταγραφής ελέγχου στον διακομιστή Syslog.
•Ειδοποίηση - Μπορείτε να διαμορφώσετε το Διακομιστή ESET PROTECT ώστε να αποστέλλει Ειδοποιήσεις στο διακομιστή Syslog. Ορίστε ένα φίλτρο σε μια Κατηγορία αρχείου καταγραφής ειδοποιήσεων για να φιλτράρετε τα αρχεία καταγραφής συμβάντων που αποστέλλονται στο Syslog.
Δεν μπορείτε να χρησιμοποιήσετε το Syslog για ειδοποιήσεις με άλλα συμβάντα, επειδή οι μορφές δεν είναι συμβατές. Οι ειδοποιήσεις αποστέλλονται σε μορφή απλού κειμένου. |
Οι χρήστες του Syslog έχουν πρόσβαση σε όλα τα αρχεία καταγραφής που έχουν εξαχθεί. Όλα τα μηνύματα αρχείου καταγραφής ελέγχου εξάγονται στο Syslog. |
4.Καθορίστε τον Κεντρικό υπολογιστή – διεύθυνση IP ή το όνομα κεντρικού υπολογιστή για τον διακομιστή Syslog.
5.Πληκτρολογήστε τον αριθμό για τη Θύρα – η προεπιλεγμένη τιμή είναι 514.
6.Επιλέξτε την Έκδοση – BSD (προδιαγραφή) ή Syslog (προδιαγραφή).
7.Στο στοιχείο Μορφή, επιλέξτε τη μορφή αρχείου καταγραφής μηνυμάτων συμβάντων:
Οι ειδοποιήσεις αποστέλλονται σε μορφή απλού κειμένου. |
•JSON (JavaScript Object Notation)
•CEF (Μορφή κοινού συμβάντος) – μορφή που αναπτύχθηκε από την ArcSight.
•LEEF (Εκτεταμένη μορφή συμβάντος καταγραφής) - μορφή που χρησιμοποιείται από το QRadar της εφαρμογής της IBM.
8.Επιλέξτε το πρωτόκολλο Μεταφορά για την αποστολή μηνυμάτων στο Syslog (UDP, TCP, TLS).
9.Προαιρετικά, μπορείτε να ενεργοποιήσετε το στοιχείο Πλαισίωση οκτάδας (octet-counted framing). Όταν είναι ενεργοποιημένο, κάθε μήνυμα Syslog που μεταδίδεται μέσω TLS έχει πρόθεμα με το μήκος του σε οκτάδες (byte), επιτρέποντας στο σύστημα δέκτη να προσδιορίσει το μήκος του μηνύματος (προδιαγραφή).
10. Κάντε κλικ στο στοιχείο Τέλος.
•Το κανονικό αρχείο καταγραφής της εφαρμογής ενημερώνεται συνεχώς. Το Syslog εξάγει μόνο ορισμένα ασύγχρονα συμβάντα, όπως ειδοποιήσεις ή διάφορα συμβάντα υπολογιστή-πελάτη. •Για να προσαρμόσετε τις λεπτομέρειες καταγραφής, κάντε κλικ στα στοιχεία Περισσότερα > Ρυθμίσεις > Για προχωρημένους > Καταγραφή > Παρακολούθηση επιπέδου λεπτομέρειας καταγραφής. |
Στη διαδρομή Περισσότερα > Ρυθμίσεις > Εξαγωγή, μπορείτε να δείτε και να επεξεργαστείτε τη λίστα των διακομιστών Syslog με ρύθμιση παραμέτρων. Κάντε κλικ στο εικονίδιο με τις τρεις κουκκίδες
που βρίσκεται δίπλα στον διακομιστή Syslog στον οποίο έχει γίνει ρύθμιση παραμέτρων και επιλέξτε:
•
Επεξεργασία – Επεξεργαστείτε την επιλεγμένη ρύθμιση παραμέτρων διακομιστή Syslog.
•
Κατάργηση – Καταργήστε την επιλεγμένη ρύθμιση παραμέτρων διακομιστή Syslog.