ESET PROTECT On-Prem – Зміст

Експорт журналів у syslog

ESET PROTECT On-Prem може експортувати певні журнали й події на сервер Syslog. Події генеруються на керованих клієнтських комп’ютерах із програмами ESET (наприклад, ESET Endpoint Security). Ці події може обробляти будь-яке рішення для керування інформацією і подіями безпеки (SIEM), яке здатне імпортувати події із сервера Syslog. ESET PROTECT On-Prem надсилає події на сервер Syslog.

Щоб налаштувати сервер Syslog, дотримуйтеся наведених нижче інструкцій:

1.Виберіть Докладніше > Налаштування > Експорт > Додати сервер syslog.


Примітка

Можна налаштувати до п’яти серверів Syslog.

2.Увімкніть перемикач Увімкнути параметри syslog, щоб надсилати події, щоб увімкнути сервер Syslog, налаштований нижче.

3.У розділі Налаштування журналу виберіть категорії журналів, з яких журнали подій експортуватимуться на сервер Syslog.

Виявлений об’єкт: налаштуйте сервер ESET PROTECT для надсилання на сервер Syslog виявлених об’єктів зазначених нижче категорій: Антивірус, Брандмауер, Система запобігання вторгненням (HIPS), Вебзахист (відфільтровані вебсайти), Заблоковані файли й ESET Inspect.

Аудит: налаштуйте сервер ESET PROTECT для надсилання журналів аудиту на сервер Syslog.

Сповіщення — Ви можете налаштувати сервер ESET PROTECT для надсилання сповіщень на ваш сервер Syslog. Визначте фільтр у категорії журналу сповіщень, щоб фільтрувати журнали подій, надіслані в Syslog.


Примітка

Неможливо використовувати Syslog разом з іншими подіями, оскільки їхні формати несумісні. Сповіщення надсилаються у звичайному текстовому форматі.


Важливі

Користувачі Syslog мають доступ до всіх експортованих журналів. Усі повідомлення журналу аудиту експортуються в Syslog.

4.Укажіть параметр Хост — IP-адресу або ім’я хоста для сервера Syslog.

5.Уведіть номер порту. За замовчуванням використовується значення 514.

6.Виберіть версію: BSD (специфікація) або Syslog (специфікація).

7.У полі Формат виберіть формат журналу повідомлень про події:


Примітка

Сповіщення надсилаються у звичайному текстовому форматі.

JSON (JavaScript Object Notation)

CEF (загальний формат події): формат, розроблений ArcSight.

LEEF (Log Event Extended Format) – формат, що використовується програмою IBM QRadar.

8.Виберіть Транспортний протокол для надсилання повідомлень до Syslog (UDP, TCP, TLS)

9.За потреби можна ввімкнути параметр Формування пакетів (октети). Якщо цей параметр увімкнуто, кожне повідомлення Syslog, що передається за протоколом TLS, має префікс із довжиною в октетах (байтах), що дає змогу системі-одержувачу визначити довжину повідомлення (специфікацію).

10. Натисніть Готово.


Примітка

Стандартний файл журналу програми постійно оновлюється. Syslog експортує лише певні асинхронні події, наприклад сповіщення або різні події на клієнтських комп’ютерах.

Щоб налаштувати детальність журналу, виберіть Докладніше > Налаштування > Додатково > Ведення журналів > Детальність журналу трасування.

У розділі Докладніше > Налаштування > Експорт можна переглядати й редагувати список налаштованих серверів Syslog. Клацніть піктограму з трьома крапкамиДокладніше поруч із налаштованим сервером Syslog і виберіть:

Редагувати. Редагувати: редагувати вибрану конфігурацію сервера Syslog.

Видалити. Видалити: видалити вибрану конфігурацію сервера Syslog.