Exporter les journaux vers Syslog
ESET PROTECT peut exporter certains journaux/événements et les envoyer ensuite à votre serveur Syslog. Les événements des catégories de journaux suivantes sont exportés vers le serveur Syslog : Détection, Pare-feu, HIPS, Audit et ESET Inspect. Des événements sont générés sur un ordinateur client administré exécutant un produit ESET (par exemple ESET Endpoint Security). Ces événements peuvent être traités par toute solution SIEM (Security Information and Event Management) capable d'importer des événements à partir d'un serveur Syslog. Les événements sont écrits sur le serveur Syslog par ESET PROTECT.
|
Assurez-vous que votre serveur Syslog prend en charge l'encodage UTF-8 BOM des messages Syslog. |
|
La taille maximale d'un message est de 8 Ko. Les messages de plus de 8 000 caractères seront automatiquement raccourcis. |
|
Messages battement de cœur Avec la transition vers des connexions permanentes au serveur syslog des clients, des messages battement de cœur sont envoyés toutes les 1 à 3 minutes pour maintenir la connexion ouverte. Les messages battement de cœur sont des messages syslog réguliers avec la fonction local7, la gravité Informational et le contenu HEARTBEAT. Les connexions inutilisées sont fermées après 15 minutes. Exemple de message dans RFC 3164 :
|
1.Pour activer le serveur Syslog, cliquez sur Plus > Paramètres > Syslog > Activer l'envoi Syslog.
|
Tous les journaux exportés sont disponibles aux utilisateurs de Syslog sans limitations. |
2.Choisissez l'un des formats suivants pour les messages d'événement :
•JSON (JavaScript Object Notation)
•LEEF (Log Event Extended Format) format utilisé par QRadar qui est l'application d'IBM.
•CEF (Common Event Format)
Pour filtrer les journaux d'événements envoyés à Syslog, créez une notification de catégorie de journal avec un filtre défini.
|
Il faut savoir que si le serveur Syslog n'est pas joignable, les messages ne sont pas stockés et ne seront pas envoyés rétrospectivement ; ils sont rejetés. |