Exportar relatórios para Syslog
ESET PROTECT On-Prem pode exportar certos relatórios e eventos para o seu servidor Syslog. Eventos são gerados em qualquer computador cliente gerenciado executando o aplicativo ESET (por exemplo, ESET Endpoint Security). Esses eventos podem ser processados por qualquer solução SIEM (Informações de Segurança e Gerenciamento de Eventos - Security Information and Event Management) capaz de importar eventos de um servidor Syslog. O ESET PROTECT On-Prem envia os eventos ao Servidor Syslog.
Siga as etapas abaixo para configurar um servidor Syslog:
1.Navegue até Mais > Configurações > Exportar > Adicionar servidor Syslog.
Você pode configurar até cinco servidores Syslog. |
2.Ative a opção Ativar configurações de syslog para enviar eventos para ativar o servidor Syslog configurado abaixo.
3.Em Configurações de relatório, selecione as categorias de relatório das quais os relatórios de evento serão exportados para o servidor Syslog:
•Detecção – configure o servidor ESET PROTECT para enviar as seguintes categorias de detecção para o seu servidor Syslog: Antivírus, Firewall, HIPS, Proteção da web (sites filtrados), Arquivos bloqueados e ESET Inspect.
•Auditoria – configure o servidor ESET PROTECT para enviar Relatórios de auditoria para o seu servidor Syslog.
•Notificação – É possível configurar o ESET PROTECT para enviar Notificações ao seu servidor Syslog. Defina um filtro em uma Categoria de relatório de notificação para filtrar os relatórios de evento enviados para o Syslog.
Você não pode usar o Syslog para notificações com outros eventos porque os formatos não são compatíveis. As notificações são enviadas em um formato de texto simples. |
Os usuários do Syslog têm acesso a todos os relatórios exportados. Todas as mensagens de relatório de auditoria são exportadas para o Syslog. |
4.Especifique o Host – endereço IP ou nome de host para o servidor Syslog.
5.Digite o número da Porta – o valor padrão é 514.
6.Selecione a Versão – BSD (especificação) ou Syslog (especificação).
7.Em Formato, selecione o formato de relatório da mensagem de evento:
As notificações são enviadas em um formato de texto simples. |
•JSON (Notação de Objeto do JavaScript)
•CEF (Common Event Format) – formato desenvolvido pela ArcSight.
•LEEF (Formato de relatório de evento estendido) - formato usado pelo aplicativo QRadar da IBM.
8.Selecione protocolo de transporte para o envio de mensagens ao Syslog (UDP, TCP, TLS)
9.Opcionalmente, você pode habilitar o Enquadramento com contagem de octeto. Quando ativado, cada mensagem Syslog transmitida por TLS é prefixada com seu comprimento em octetos (bytes), permitindo que o sistema receptor determine o comprimento da mensagem (especificação).
10. Clique em Concluir.
•O arquivo de relatório regular do aplicativo é atualizado continuamente. O Syslog exporta apenas determinados eventos assíncronos, como notificações ou vários eventos do computador cliente. •Para ajustar o detalhamento do registro em relatório, clique em Mais > Configurações > Avançado > Registro em relatório > Rastrear detalhamento do relatório. |
Em Mais > Configurações > Exportação, você pode ver e editar a lista de servidores Syslog configurados. Clique no ícone de três pontos
ao lado do servidor Syslog configurado e selecione:
•
Editar – edita a configuração do servidor Syslog selecionada.
•
Remover – remove a configuração do servidor Syslog selecionada.