將防護記錄匯出為系統日誌
ESET PROTECT On-Prem 可以將某些防護記錄和事件匯出到您的系統日誌伺服器。事件會在任何執行 ESET 應用程式 (例如 ESET Endpoint Security) 的受管理用戶端電腦上產生。任何能夠從系統日誌伺服器匯入事件的安全性資訊和事件管理 (SIEM) 解決方案都可以處理這些事件。ESET PROTECT On-Prem 會將事件傳送到系統日誌伺服器。
請遵循以下步驟來配置系統日誌伺服器:
1.瀏覽至 [更多] > [設定] > [匯出] > [新增系統日誌伺服器]。
您可以配置最多五個系統日誌伺服器。 |
2.啟用 [啟用系統日誌設定以傳送事件] 切換開關以啟用下方配置的系統日誌伺服器。
3.在 [防護記錄設定] 中,選取將事件防護記錄匯出到系統日誌伺服器的防護記錄類別:
•偵測—配置 ESET PROTECT 伺服器以將下列偵測類別傳送到您的系統日誌伺服器:[病毒防護]、[防火牆]、[HIPS]、[Web 防護] (已過濾的網站)、封鎖的檔案 和 ESET Inspect。
•審核—配置 ESET PROTECT 伺服器以將審核防護記錄傳送到您的系統日誌伺服器。
•通知 - 您可以配置 ESET PROTECT 伺服器以將通知傳送至系統日誌伺服器。 在通知防護記錄類別中定義過濾器,以過濾傳送到系統日誌的事件防護記錄。
您不能將系統日誌用於其他事件的通知,因為格式不相容。通知以純文字格式傳送。 |
系統日誌使用者可存取所有匯出的防護記錄。所有審核防護記錄訊息都會匯出至系統日誌。 |
4.指定主機—系統日誌伺服器的 IP 位址或主機名稱。
5.輸入連接埠號碼—預設值為 514。
7.在 [格式] 中,選取事件訊息防護記錄格式:
通知以純文字格式傳送。 |
•JSON (JavaScript 物件標記法)
•CEF (通用事件格式)—由 ArcSight 開發。
•LEEF (防護記錄事件延伸格式) - IBM 應用程式 QRadar 所使用的格式。
8.選取 [傳輸] 通訊協定,用於將訊息傳送到系統日誌 ([UDP]、[TCP]、[TLS])。
9.或者,您可以啟用 [八位元組計數框架]。啟用後,透過 TLS 傳輸的每個系統日誌訊息都會以八位元組 (位元組) 長度作為字首,進而允許接收器系統確定訊息長度 (規格)。。
10. 按一下 [完成]。
•一般的應用程式防護記錄檔案會持續更新。系統日誌僅匯出某些非同步事件,例如通知或各種用戶端電腦事件。 •若要調整記錄詳細程度,按一下 [更多] > [設定] > [進階] > [記錄] > [追蹤記錄詳細程度]。 |
在 [更多] > [設定] > [匯出] 中,您可以查看並編輯已配置的系統日誌伺服器清單。 按一下已配置的系統日誌伺服器旁邊的三點
圖示,並選取:
•
編輯—編輯所選的系統日誌伺服器配置。
•
刪除—移除所選的系統日誌伺服器配置。