ESET PROTECT On-Prem – Spis treści

Eksportowanie dzienników do programu Syslog

ESET PROTECT On-Prem może wyeksportować określone dzienniki i zdarzenia na Twój serwer Syslog. Zdarzenia są generowane na zarządzanym komputerze klienckim z uruchomioną aplikacją firmy ESET (np. ESET Endpoint Security). Zdarzenia te można przetwarzać przy użyciu dowolnych rozwiązań do zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego (ang. Security Information and Event Management — SIEM), w których można importować zdarzenia z serwera Syslog. ESET PROTECT On-Prem przesyła wydarzenia do serwera Syslog.

Wykonaj poniższe czynności, aby skonfigurować serwer Syslog:

1.Przejdź do sekcji Więcej > Ustawienia > Eksportuj > Dodaj serwer Syslog.


Uwaga

Możesz skonfigurować maksymalnie pięć serwerów Syslog.

2.Włącz opcję Włącz ustawienia dziennika Syslog, aby wysyłać zdarzenia, aby aktywować serwer Syslog skonfigurowany poniżej.

3.W ustawieniach dziennika wybierz kategorie dzienników, z których dzienniki zdarzeń będą eksportowane do serwera Syslog:

Wykrywanie — skonfiguruj serwer ESET PROTECT tak, aby wysyłał następujące kategorie wykrywania do serwera Syslog: Antywirus, Zapora, HIPS, Ochrona sieci Web (odfiltrowane strony internetowe), Zablokowane pliki oraz ESET Inspect.

Audyt — skonfiguruj serwer ESET PROTECT, aby przesyłał dzienniki audytu do serwera Syslog.

Powiadomienie – Można skonfigurować ESET PROTECT tak, aby wysyłał powiadomienia do serwera programu Syslog. Określ filtr w kategorii dziennika powiadomień, aby odfiltrować dzienniki zdarzeń przesyłane do serwera Syslog.


Uwaga

Nie możesz używać serwera Syslog do powiadomień dotyczących innych zdarzeń, ponieważ formaty nie są kompatybilne. Powiadomienia są wysyłane w postaci zwykłego tekstu.


WAŻNE

Użytkownicy serwera Syslog mają dostęp do wszystkich wyeksportowanych dzienników. Wszystkie komunikaty dziennika audytu są eksportowane do Syslog.

4.Określ hosta — adres IP lub nazwa hosta serwera Syslog.

5.Wpisz numer portu — wartość domyślna to 514.

6.Wybierz wersjęBSD (specyfikacja) lub Syslog (specyfikacja).

7.W sekcji Format wybierz format dziennika wiadomości zdarzeń:


Uwaga

Powiadomienia są wysyłane w postaci zwykłego tekstu.

JSON (JavaScript Object Notation)

CEF (format zdarzenia typowego, ang. Common Event Format) — format opracowany przez ArcSight.

LEEF (Log Event Extended Format) — format używany przez aplikację Qradar firmy IBM.

8.Wybierz Transport protokół wysyłania wiadomości do programu Syslog (UDP, TCP, TLS)

9.Opcjonalnie można włączyć ramkowanie z liczeniem oktetów. Po włączeniu tej opcji każda wiadomość serwera Syslog przesyłana przez TLS ma przedrostek informujący o długości w oktetach (bajtach), co pozwala systemowi odbiorcy określić długość wiadomości (specyfikację).

10. Kliknij opcję Zakończ.


Uwaga

Zwykły plik dziennika aplikacji jest stale aktualizowany. Serwer Syslog eksportuje tylko niektóre zdarzenia asynchroniczne, takie jak powiadomienia lub różne zdarzenia na komputerze klienckim.

Aby dostosować szczegółowość dzienników, kliknij Więcej > Ustawienia > Zaawansowane > Zapisywanie w dzienniku > Śledź szczegółowość dzienników.

W sekcji Więcej > Ustawienia > Eksport możesz zobaczyć i edytować listę skonfigurowanych serwerów Syslog. Kliknij ikonę trzech kropekWięcejobok skonfigurowanego serwera Syslog i wybierz:

Edytuj. Edytuj — wprowadź zmiany w konfiguracji wybranego serwera Syslog.

Usuń. Usuń — usuń konfigurację wybranego serwera Syslog.