ESET PROTECT On-Prem – Índice

Exportar registros a Syslog

ESET PROTECT On-Prem puede exportar determinados registros y sucesos a su servidor de Syslog. Los eventos se generan en cualquier ordenador cliente administrado en el que se ejecute una aplicación de ESET (por ejemplo, ESET Endpoint Security). Estos sucesos puede procesarlos cualquier solución de gestión de información y sucesos de seguridad (SIEM) que pueda importar sucesos de un servidor de Syslog. ESET PROTECT On-Prem envía los sucesos al servidor de Syslog.

Siga los pasos indicados a continuación para configurar un servidor de Syslog:

1.Vaya a Más > Configuración > Exportar > Añadir servidor de Syslog.


Nota

Puede configurar hasta cinco servidores de Syslog.

2.Active el interruptor Activar configuración de Syslog para enviar sucesos para activar el servidor de Syslog configurado a continuación.

3.En Configuración de registro, seleccione las categorías de registro desde las que se exportarán registros de sucesos al servidor de Syslog:

Detección: configure ESET PROTECT Server para enviar las siguientes categorías de detección a su servidor de Syslog: Antivirus, Cortafuegos, HIPS, Protección web (sitios web filtrados), Archivos bloqueados y ESET Inspect.

Auditoría: configure ESET PROTECT Server para enviar registros de auditoría a su servidor de Syslog.

Notificación – Puede configurar ESET PROTECT Server para que envíe notificaciones a su servidor de Syslog. Defina un filtro en una categoría de registro de notificaciones para filtrar los registros de sucesos enviados a Syslog.


Nota

No puede utilizar Syslog para notificaciones con otros sucesos, porque los formatos no son compatibles. Las notificaciones se envían en formato de archivo de texto.


IMPORTANTE

Los usuarios de Syslog tienen acceso a todos los registros exportados. Todos los mensajes del registro de auditoría se exportan a Syslog.

4.Especifique el valor de Cliente: dirección IP o nombre de cliente del servidor de Syslog.

5.Escriba el número del valor de Puerto: el valor predeterminado es 514.

6.Seleccione el valor de Versión: BSD (especificación) o Syslog (especificación).

7.En Formato, seleccione el formato del registro de mensajes de sucesos:


Nota

Las notificaciones se envían en formato de archivo de texto.

JSON (JavaScript Object Notation)

CEF (Common Event Format): formato desarrollado por ArcSight.

LEEF (Log Event Extended Format): formato utilizado por la aplicación de IBM Qradar.

8.Seleccione el protocolo de Transport para enviar mensajes a Syslog (UDP, TCP, TLS)

9.Opcionalmente, puede activar Tramas contadas en octetos. Cuando está activada esta opción, cada mensaje de Syslog transmitido a través de TLS tiene un prefijo que indica su longitud en octetos (bytes), lo que permite al sistema receptor determinar la longitud del mensaje (especificación).

10. Haga clic en Finalizar.


Nota

El archivo de registro de la aplicación normal se actualiza continuamente. Syslog exporta solo determinados sucesos asincrónicos, como notificaciones o diferentes sucesos del ordenador cliente.

Para ajustar el nivel de detalle del registro, haga clic en Más > Configuración > Avanzado > Registro > Rastrear la verbosidad de los registros.

En Más > Configuración > Exportar puede ver y editar la lista de servidores de Syslog configurados. Haga clic en el icono de tres puntosMássituado junto al servidor de Syslog configurado y seleccione:

Modificar. Editar: edite la configuración del servidor de Syslog seleccionado.

Eliminar. Eliminar: elimine la configuración del servidor de Syslog seleccionado.