ESET PROTECT On-Prem – Índice

Exportar relatórios para Syslog

ESET PROTECT On-Prem pode exportar certos relatórios e eventos para o seu servidor Syslog. Eventos são gerados em qualquer computador cliente gerenciado executando o aplicativo ESET (por exemplo, ESET Endpoint Security). Esses eventos podem ser processados por qualquer solução SIEM (Informações de Segurança e Gerenciamento de Eventos - Security Information and Event Management) capaz de importar eventos de um servidor Syslog. O ESET PROTECT On-Prem envia os eventos ao Servidor Syslog.

Siga as etapas abaixo para configurar um servidor Syslog:

1.Navegue até Mais > Configurações > Exportar > Adicionar servidor Syslog.


Observação

Você pode configurar até cinco servidores Syslog.

2.Ative a opção Ativar configurações de syslog para enviar eventos para ativar o servidor Syslog configurado abaixo.

3.Em Configurações de relatório, selecione as categorias de relatório das quais os relatórios de evento serão exportados para o servidor Syslog:

Detecção – configure o servidor ESET PROTECT para enviar as seguintes categorias de detecção para o seu servidor Syslog: Antivírus, Firewall, HIPS, Proteção da web (sites filtrados), Arquivos bloqueados e ESET Inspect.

Auditoria – configure o servidor ESET PROTECT para enviar Relatórios de auditoria para o seu servidor Syslog.

Notificação – É possível configurar o ESET PROTECT para enviar Notificações ao seu servidor Syslog. Defina um filtro em uma Categoria de relatório de notificação para filtrar os relatórios de evento enviados para o Syslog.


Observação

Você não pode usar o Syslog para notificações com outros eventos porque os formatos não são compatíveis. As notificações são enviadas em um formato de texto simples.


IMPORTANTE

Os usuários do Syslog têm acesso a todos os relatórios exportados. Todas as mensagens de relatório de auditoria são exportadas para o Syslog.

4.Especifique o Host – endereço IP ou nome de host para o servidor Syslog.

5.Digite o número da Porta – o valor padrão é 514.

6.Selecione a VersãoBSD (especificação) ou Syslog (especificação).

7.Em Formato, selecione o formato de relatório da mensagem de evento:


Observação

As notificações são enviadas em um formato de texto simples.

JSON (Notação de Objeto do JavaScript)

CEF (Common Event Format) – formato desenvolvido pela ArcSight.

LEEF (Formato de relatório de evento estendido) - formato usado pelo aplicativo QRadar da IBM.

8.Selecione protocolo de transporte para o envio de mensagens ao Syslog (UDP, TCP, TLS)

9.Opcionalmente, você pode habilitar o Enquadramento com contagem de octeto. Quando ativado, cada mensagem Syslog transmitida por TLS é prefixada com seu comprimento em octetos (bytes), permitindo que o sistema receptor determine o comprimento da mensagem (especificação).

10. Clique em Concluir.


Observação

O arquivo de relatório regular do aplicativo é atualizado continuamente. O Syslog exporta apenas determinados eventos assíncronos, como notificações ou vários eventos do computador cliente.

Para ajustar o detalhamento do registro em relatório, clique em Mais > Configurações > Avançado > Registro em relatório > Rastrear detalhamento do relatório.

Em Mais > Configurações > Exportação, você pode ver e editar a lista de servidores Syslog configurados. Clique no ícone de três pontos Mais ao lado do servidor Syslog configurado e selecione:

Editar. Editar – edita a configuração do servidor Syslog selecionada.

Excluir. Remover – remove a configuração do servidor Syslog selecionada.