Export protokolů do syslogu
ESET PROTECT dokáže exportovat specifické protokoly/události a zasílat je na váš Syslog server. Na Syslog server se exportují události z následujících kategorií: Detekce, Firewall, HIPS, Audit a ESET Inspect. Jedná se o události, které vygenerovaly produkty ESET (například ESET Endpoint Security) na klientských stanicích. Tyto informace následně může ze syslog serveru přebírat jakýkoli SIEM (Security Information and Event Management) nástroj. Data do Syslogu zasílá ESET PROTECT.
|
Ujistěte se, že Syslog server podporuje u zpráv Syslogu kódování UTF-8 BOM. |
|
Maximální velikost zprávy je 8 KB. Zprávy delší než 8000 znaků budou automaticky zkráceny. |
|
Zprávy typu heartbeat Při přechodu na trvalé připojení k syslog serveru klienta jsou každých 1–3 minuty odesílány zprávy typu heartbeat, které udržují spojení aktivní. Zprávy typu heartbeat jsou pravidelné syslog zprávy s příznakem facility local7, úrovní závažnosti Informational a obsahem HEARTBEAT. Nepoužívaná připojení se po 15 minutách uzavřou. Příklad zprávy ve formátu RFC 3164:
|
1.Pro zapnutí Syslog serveru klikněte na Další > Nastavení> Syslog > Povolit odesílání na syslog.
|
Uživatelé syslog serveru mají přístup ke všem exportovaných protokolům. |
2.Vyberte si formát, do kterého chcete události exportovat. K dispozici máte tyto formáty:
•JSON (JavaScript Object Notation)
•LEEF (Log Event Extended Format) – formát používaný aplikací IBM QRadar
•CEF (Common Event Format)
Pokud chcete na Syslog server zasílat pouze některé události, vytvořit si oznámení s vámi požadovaným filtrem.
|
Berte, prosím, na vědomí, že pokud není Syslog server dostupný, nejenže k ukládání zpráv nedochází, ale nejsou ani dodatečně odeslány. Dojde tak k jejich zahození. |