Exporter les journaux vers Syslog
ESET PROTECT On-Prem peut exporter certains journaux et événements vers votre serveur Syslog. Des événements sont générés sur un ordinateur client administré exécutant une application ESET (par exemple ESET Endpoint Security). Ces événements peuvent être traités par toute solution SIEM (Security Information and Event Management) qui peut importer des événements à partir d'un serveur Syslog. ESET PROTECT On-Prem envoie les événements vers le serveur Syslog.
Suivez les étapes ci-dessous pour configurer un serveur Syslog :
1.Naviguez vers Plus > Paramètres > Exporter > Ajouter un serveur Syslog.
Vous pouvez configurer jusqu'à cinq serveurs Syslog. |
2.Activez l'option Activer les paramètres Syslog pour envoyer des événements afin d'activer le serveur Syslog configuré ci-dessous.
3.Dans Paramètres des journaux, sélectionnez les catégories de journaux à partir desquelles les journaux d'événements seront exportés vers le serveur Syslog :
•Détection : configurez le serveur ESET PROTECT pour envoyer les catégories de détection suivantes à votre serveur Syslog : Antivirus, Pare-feu, HIPS, Protection Web (sites Web filtrés), Fichiers bloqués et ESET Inspect.
•Audit : configurez le serveur ESET PROTECT pour envoyer les Journaux d’audit à votre serveur Syslog.
•Notification : Vous pouvez configurer le serveur ESET PROTECT pour envoyer des notifications à votre serveur Syslog. Définissez un filtre dans une Catégorie de journal de notifications pour filtrer les journaux d'événements envoyés à Syslog.
Vous ne pouvez pas utiliser Syslog pour les notifications avec d'autres événements, car les formats ne sont pas compatibles. Les notifications sont envoyées en format texte simple. |
Les utilisateurs de Syslog ont accès à tous les journaux exportés. Tous les messages du journal de vérification sont exportés vers Syslog. |
4.Spécifiez l'Hôte : adresse IP ou nom d’hôte pour le serveur Syslog.
5.Saisissez le Numéro de port : la valeur par défaut est 514.
6.Sélectionnez la Version : BSD (spécification) ou Syslog (spécification).
7.Dans Format, sélectionnez le format du journal des messages d'événements :
Les notifications sont envoyées en format texte simple. |
•JSON (JavaScript Object Notation)
•CEF (Common Event Format) : format développé par ArcSight.
•LEEF (Log Event Extended Format) format utilisé par QRadar qui est l'application d'IBM.
8.Sélectionnez le Protocole de transport pour l'envoi des messages à Syslog (UDP, TCP, TLS)
9.En option, vous pouvez activer le Cadrage compté par octet. Lorsqu'il est activé, chaque message Syslog transmis par protocole TLS est précédé de sa longueur en octets, pour permettre au système destinataire de déterminer la longueur du message (spécification).
10. Cliquez sur Terminer.
•Le fichier journal régulier de l'application est continuellement mis à jour. Syslog exporte seulement certains événements asynchrones, comme les notifications ou divers événements de l'ordinateur client. •Pour ajuster la verbosité de la journalisation, cliquez sur Plus > Paramètres > Avancés > Connexion > Verbosité du journal de traçage. |
Dans Plus > Paramètres > Exporter, vous pouvez voir et modifier la liste des serveurs Syslog configurés. Cliquez sur l'icône des trois points
à côté du serveur Syslog configuré et sélectionnez :
•
Modifier : modifiez la configuration du serveur Syslog sélectionné.
•
Supprimer : supprimez la configuration du serveur Syslog sélectionné.