Exporter les journaux vers Syslog
ESET PROTECT On-Prem peut exporter certains journaux et événements vers votre serveur Syslog. Des événements sont générés sur un ordinateur client administré exécutant une application ESET (par exemple ESET Endpoint Security). Ces événements peuvent être traités par toute solution SIEM (Security Information and Event Management) pouvant importer des événements à partir d'un serveur Syslog. ESET PROTECT On-Prem envoie les événements au serveur Syslog.
Pour configurer un serveur Syslog, procédez comme suit :
1.Accéder à Autres > Paramètres > Exporter > Ajouter un serveur Syslog.
Vous pouvez configurer jusqu'à cinq serveurs Syslog. |
2.Activez le bouton bascule Activer les paramètres syslog pour envoyer des événements afin d'activer le serveur Syslog configuré ci-dessous.
3.Dans Paramètres du journal, sélectionnez les catégories de journaux à partir desquelles les journaux d'événements seront exportés vers le serveur Syslog :
•Détection : configurez ESET PROTECT Server pour envoyer les catégories de détection suivantes à votre serveur Syslog : Antivirus, Pare-feu, HIPS, Protection web (sites Web filtrés), Fichiers bloqués et ESET Inspect.
•Audit : configurez ESET PROTECT Server pour envoyer les journaux de vérification à votre serveur Syslog.
•Notification : Vous pouvez configurer le serveur ESET PROTECT pour envoyer des notifications à votre serveur Syslog. Définissez un filtre dans une catégorie de journal de notification afin de filtrer les journaux d'événements envoyés à Syslog.
Vous ne pouvez pas utiliser Syslog pour les notifications concernant d'autres événements, car les formats ne sont pas compatibles. Les notifications sont envoyées en texte brut. |
Les utilisateurs de Syslog ont accès à tous les journaux exportés. Tous les messages du journal de vérification sont exportés vers Syslog. |
4.Spécifiez l'hôte : adresse IP ou nom d'hôte du serveur Syslog.
5.Saisissez le numéro de port : la valeur par défaut est 514.
6.Sélectionnez la version :BSD (spécification) ou Syslog (spécification).
7.Dans Format, sélectionnez le format du journal des messages d’évènements :
Les notifications sont envoyées en texte brut. |
•JSON (JavaScript Object Notation)
•CEF (Common Event Format) : format développé par ArcSight.
•LEEF (Log Event Extended Format) format utilisé par QRadar qui est l'application d'IBM.
8.Sélectionnez le Protocole de transport pour l'envoi des messages à Syslog (UDP, TCP, TLS)
9.Vous pouvez éventuellement activer l'option Trames avec octets comptabilisés. Lorsque cette option est activée, chaque message Syslog transmis via TLS est précédé de sa longueur en octets (bytes), ce qui permet au système destinataire de déterminer la longueur du message (spécification).
10. Cliquez sur Terminer.
•Le fichier journal d'application standard est mis à jour en continu. Syslog n'exporte que certains événements asynchrones, tels que les notifications ou divers événements liés aux ordinateurs clients. •Pour régler la verbosité de la journalisation, cliquez sur Autres > Paramètres > Avancés > Journalisation > Suivre la verbosité du journal. |
Dans Autres > Paramètres > Exporter, vous pouvez consulter et modifier la liste des serveurs Syslog configurés. Cliquez sur l'icône représentant
trois points en regard du serveur Syslog configuré et sélectionnez :
•
Modifier : permet de modifier la configuration du serveur Syslog sélectionnée.
•
Supprimer : permet de supprimer la configuration du serveur Syslog sélectionnée.