Exportovanie protokolov do Syslogu
ESET PROTECT On-Prem môže exportovať určité protokoly a udalosti na váš Syslog server. Udalosti sú generované na spravovaných klientskych počítačoch, na ktorých je spustená bezpečnostná aplikácia ESET (napr. ESET Endpoint Security). Tieto udalosti môžu byť spracované akýmkoľvek nástrojom SIEM (Security Information and Event Management), ktorý dokáže importovať udalosti zo Syslog servera. ESET PROTECT On-Prem odosiela udalosti na Syslog server.
Pri konfigurácii Syslog servera postupujte podľa nasledujúcich krokov:
1.Prejdite do sekcie Viac > Nastavenia > Export > Pridať Syslog server.
Môžete nakonfigurovať až päť Syslog serverov. |
2.Zapnite možnosť Zapnúť nastavenia syslogu na odosielanie udalostí, aby ste aktivovali nižšie nakonfigurovaný Syslog server.
3.V časti Nastavenia protokolov vyberte kategórie protokolov, z ktorých sa budú protokoly udalostí exportovať na Syslog server:
•Detekcia – nakonfigurujte ESET PROTECT Server tak, aby na Syslog server odosielal nasledujúce kategórie detekcií: Antivírus, Firewall, HIPS, Webová ochrana (filtrované webové stránky), Zablokované súbory a ESET Inspect.
•Audit – nakonfigurujte ESET PROTECT Server tak, aby na Syslog server odosielal protokoly auditu.
•Oznámenie – nakonfigurujte ESET PROTECT Server tak, aby na Syslog server odosielal oznámenia. V kategórii protokolu oznámení definujte filter, pomocou ktorého budete filtrovať protokoly udalostí odosielané do Syslogu.
Na Syslog server nemožno odosielať oznámenia súvisiace s inými udalosťami, pretože formáty nie sú kompatibilné. Oznámenia sa odosielajú vo formáte obyčajného textu. |
Používatelia Syslog servera majú prístup ku všetkým exportovaným protokolom. Na Syslog server sa exportujú všetky záznamy z protokolu auditu. |
4.Zadajte hostiteľa – IP adresu alebo názov hostiteľa Syslog servera.
5.Zadajte číslo portu – predvolená hodnota je 514.
6.Vyberte verziu – BSD (špecifikácia) alebo Syslog (špecifikácia).
7.V časti Formát vyberte formát protokolu udalostí:
Oznámenia sa odosielajú vo formáte obyčajného textu. |
•JSON (JavaScript Object Notation)
•CEF (Common Event Format) – formát vyvinutý spoločnosťou ArcSight.
•LEEF (Log Event Extended Format) – formát používaný aplikáciou QRadar spoločnosti IBM.
8.Vyberte protokol prenosu na odosielanie správ do Syslogu (UDP, TCP, TLS).
9.Voliteľne môžete zapnúť Rámcovanie počítaním oktet. Ak je táto funkcia zapnutá, pred každú správu prenášanú do Syslogu cez TLS sa vkladá jej dĺžka v oktetoch (bajtoch), čo umožňuje prijímajúcemu systému určiť dĺžku správy (špecifikácia).
10. Kliknite na Dokončiť.
•Súbor protokolu bežnej aplikácie sa priebežne aktualizuje. Syslog exportuje iba určité asynchrónne udalosti, ako sú napríklad oznámenia alebo rôzne udalosti na klientskom počítači. •Ak chcete nastaviť úroveň zapisovania do protokolu, kliknite na Viac > Nastavenia > Pokročilé > Zapisovanie do protokolov > Zaznamenávať protokoly od úrovne. |
V sekcii Viac > Nastavenia > Export si môžete pozrieť a upraviť zoznam nakonfigurovaných Syslog serverov. Kliknite na ikonu s tromi bodkami
vedľa nakonfigurovaného Syslog servera a vyberte:
•
Upraviť – úprava konfigurácie vybraného Syslog servera.
•
Odstrániť – odstránenie vybranej konfigurácie Syslog servera.