ESET PROTECT On-Prem – 目錄

將防護記錄匯出為系統日誌

ESET PROTECT On-Prem 可以將某些防護記錄和事件匯出到您的系統日誌伺服器。事件會在任何執行 ESET 應用程式 (例如 ESET Endpoint Security) 的受管理用戶端電腦上產生。任何能夠從系統日誌伺服器匯入事件的安全性資訊和事件管理 (SIEM) 解決方案都可以處理這些事件。ESET PROTECT On-Prem 會將事件傳送到系統日誌伺服器。

請遵循以下步驟來配置系統日誌伺服器:

1.瀏覽至 [更多] > [設定] > [匯出] > [新增系統日誌伺服器]


注意

您可以配置最多五個系統日誌伺服器。

2.啟用 [啟用系統日誌設定以傳送事件] 切換開關以啟用下方配置的系統日誌伺服器。

3.[防護記錄設定] 中,選取將事件防護記錄匯出到系統日誌伺服器的防護記錄類別:

偵測—配置 ESET PROTECT 伺服器以將下列偵測類別傳送到您的系統日誌伺服器:[病毒防護][防火牆][HIPS][Web 防護] (已過濾的網站)、封鎖的檔案ESET Inspect

審核—配置 ESET PROTECT 伺服器以將審核防護記錄傳送到您的系統日誌伺服器。

通知 - 您可以配置 ESET PROTECT 伺服器以將通知傳送至系統日誌伺服器。 在通知防護記錄類別中定義過濾器,以過濾傳送到系統日誌的事件防護記錄。


注意

您不能將系統日誌用於其他事件的通知,因為格式不相容。通知以純文字格式傳送。


重要

系統日誌使用者可存取所有匯出的防護記錄。所有審核防護記錄訊息都會匯出至系統日誌。

4.指定主機—系統日誌伺服器的 IP 位址或主機名稱。

5.輸入連接埠號碼—預設值為 514。

6.選取版本BSD (規格) 或 系統日誌 (規格)。

7.[格式] 中,選取事件訊息防護記錄格式:


注意

通知以純文字格式傳送。

JSON (JavaScript 物件標記法)

CEF (通用事件格式)—由 ArcSight 開發。

LEEF (防護記錄事件延伸格式) - IBM 應用程式 QRadar 所使用的格式。

8.選取 [傳輸] 通訊協定,用於將訊息傳送到系統日誌 ([UDP][TCP][TLS])。

9.或者,您可以啟用 [八位元組計數框架]。啟用後,透過 TLS 傳輸的每個系統日誌訊息都會以八位元組 (位元組) 長度作為字首,進而允許接收器系統確定訊息長度 (規格)。。

10. 按一下 [完成]


注意

一般的應用程式防護記錄檔案會持續更新。系統日誌僅匯出某些非同步事件,例如通知或各種用戶端電腦事件。

若要調整記錄詳細程度,按一下 [更多] > [設定] > [進階] > [記錄] > [追蹤記錄詳細程度]

[更多] > [設定] > [匯出] 中,您可以查看並編輯已配置的系統日誌伺服器清單。 按一下已配置的系統日誌伺服器旁邊的三點 其他 圖示,並選取:

編輯。 編輯—編輯所選的系統日誌伺服器配置。

刪除。 刪除—移除所選的系統日誌伺服器配置。