ESET PROTECT On-Prem – 目录

将日志导出到系统日志

ESET PROTECT On-Prem 可以将某些日志和事件导出到系统日志服务器。在运行 ESET 应用程序(例如 ESET Endpoint Security)的任何托管客户端计算机上生成事件。可通过能从系统日志服务器导入事件的任何安全信息和事件管理 (SIEM) 解决方案来处理这些事件。ESET PROTECT On-Prem 可将事件发送到系统日志服务器。

按照以下步骤配置系统日志服务器:

1.导航到更多 > 设置 > 导出 > 添加系统日志服务器


注意

最多可以配置五个系统日志服务器。

2.启用启用系统日志设置以发送事件开关,以启用下面配置的系统日志服务器。

3.日志设置中,选择将哪个日志类别中的事件日志导出到系统日志服务器:

检测 - 配置 ESET PROTECT 服务器以将以下检测类别发送到系统日志服务器:病毒防护防火墙HIPSWeb 防护(过滤的网站)、阻止的文件ESET Inspect

审核 - 配置 ESET PROTECT 服务器以将审核日志发送到系统日志服务器。

通知 - 还可以配置 ESET PROTECT 服务器,以将通知发送到系统日志服务器。 在通知日志类别中定义过滤器,以过滤发送到系统日志的事件日志。


注意

由于格式不兼容,因此无法将系统日志用于其他事件的通知。通知以纯文本格式发送。


重要信息

系统日志用户有权访问所有导出的日志。所有审核日志消息都导出至系统日志。

4.指定主机 - 系统日志服务器的 IP 地址或主机名。

5.键入端口号 - 默认值为 514。

6.选择版本 - BSD规范)或系统日志规范)。

7.格式中,选择事件消息日志格式:


注意

通知以纯文本格式发送。

JSON (JavaScript Object Notation)

CEF(通用事件格式)- 由 ArcSight 开发的格式。

LEEF(日志事件扩展格式)- IBM 的应用程序 QRadar 所使用的格式。

8.选择用于将消息发送到系统日志的传输协议(UDPTCPTLS)。

9.或者,您可以启用以八位字节计数的帧。启用后,通过 TLS 传输的每条系统日志消息都以其长度(以八位字节为单位)为前缀,使接收方系统能够确定消息长度(规范)。

10. 单击完成


注意

常规应用程序日志文件将持续更新。系统日志仅导出某些异步事件,例如通知或各种客户端计算机事件。

要调整日志记录详细级别,请单击更多 > 设置 > 高级 > 日志记录 > 跟踪日志详细级别

更多 > 设置 > 导出中,可以查看和编辑已配置的系统日志服务器的列表。 单击已配置的系统日志服务器旁边的三点 更多 图标,然后选择:

编辑。 编辑 - 编辑选定的系统日志服务器配置。

删除。 删除 - 删除选定的系统日志服务器配置。