Экспорт журналов в системный журнал
ESET PROTECT On-Prem может экспортировать определенные журналы и события на сервер системного журнала. События создаются на любом управляемом клиентском компьютере, где работает приложение ESET (например, ESET Endpoint Security). Эти события может обрабатывать любое решение, которое использует технологию управления информационной безопасностью и событиями безопасности (SIEM) и которое может импортировать события с сервера системного журнала. ESET PROTECT On-Prem отправляет события на сервер системного журнала.
Чтобы настроить сервер системного журнала, выполните следующие действия.
1.Перейдите в раздел Дополнительно > Настройки > Экспорт > Добавить сервер системного журнала.
Можно настроить до пяти серверов системного журнала. |
2.Включите переключатель Разрешить отправку событий в настройках системного журнала, чтобы включить сервер системного журнала, настроенный ниже.
3.В разделе Настройки журнала выберите категории журнала, из которых журналы событий будут экспортироваться на сервер системного журнала:
•Обнаружение — настройте в сервере ESET PROTECT отправку на сервер системного журнала следующих категорий обнаружения: Защита от вирусов, Файервол, Система HIPS, Защита доступа в Интернет (фильтрация веб-сайтов), Заблокированные файлы и ESET Inspect.
•Аудит — настройте в сервере ESET PROTECT отправку журналов аудита на сервер системного журнала.
•Уведомление — Вы можете настроить ESET PROTECT Server для отправки уведомлений на сервер системного журнала. Настройте фильтр в категории журнала уведомлений для фильтрации журналов событий, отправляемых в системный журнал.
Системный журнал нельзя использовать для уведомлений с другими событиями из-за несовместимости форматов. Уведомления отправляются в формате обычного текста. |
Пользователи системного журнала имеют доступ ко всем экспортированным журналам. Все сообщения журнала аудита экспортируются в системный журнал. |
4.Укажите хост — IP-адрес или имя хоста сервера системного журнала.
5.Введите номер порта (значение по умолчанию — 514).
6.Выберите версию — BSD (спецификация) или Системный журнал (спецификация).
7.В поле Формат выберите формат журнала сообщений о событиях:
Уведомления отправляются в формате обычного текста. |
•JSON (нотация объектов JavaScript);
•CEF (Common Event Format, общий формат событий) — формат, разработанный компанией ArcSight;
•LEEF (Log Event Extended Format) — формат, используемый приложением IBM QRadar.
8.Выберите транспортный протокол для отправки сообщений в системный журнал (UDP, TCP, TLS).
9.При необходимости можно включить восьмиразрядную синхронизацию приемопередачи. Если этот параметр включен, перед каждым сообщением системного журнала, передаваемым по протоколу TLS, указывается префикс с длиной сообщения в октетах (байтах), что позволяет получающей системе определять длину сообщения (спецификация).
10. Нажмите кнопку Завершить.
•Обычный файл журнала приложения постоянно обновляется. Системный журнал экспортирует только определенные асинхронные события, такие как уведомления или различные события клиентского компьютера. •Чтобы настроить степень детализации журнала, щелкните Дополнительно > Настройки > Дополнительно > Ведение журнала > Детализация журнала трассировки. |
В разделе Дополнительно > Настройки > Экспорт можно просмотреть и изменить список настроенных серверов системного журнала. Щелкните значок с тремя точками
рядом с настроенным сервером системного журнала и выберите:
•
Изменить — изменение конфигурации выбранного сервера системного журнала.
•
Удалить — удаление конфигурации выбранного сервера системного журнала.