Izvoz dnevnika u Syslog
ESET PROTECT može izvesti određene dnevnike/događaje i poslati ih na vaš Syslog server. Događaji iz sljedećih kategorija dnevnika izvoze se na Syslog server: Prijetnja, firewall, HIPS, provjera i ESET Inspect. Događaji se generiraju na bilo kojem upravljanom klijentskom računalu na kojem se nalazi ESET-ov program (na primjer ESET Endpoint Security). Ti događaji mogu se obraditi bilo kojim SIEM (Security Information and Event Management) rješenjem koje podržava uvoz iz Syslog servera. Događaje u Syslog server zapisuje ESET PROTECT.
|
Provjerite podržava li vaš Syslog server UTF-8 BOM kodiranje Syslog poruka. |
|
Maksimalna veličina poruke postavljena je na 8 KB. Poruke dulje od 8000 znakova automatski će se skratiti. |
|
Kontrolne poruke Nakon prelaska na stalne veze s klijentovim Syslog serverom, kontrolne poruke šalju se svake 1 – 3 minute da bi veza ostala stalno aktivna. Kontrolne poruke uobičajene su Syslog poruke kategorije local7, ozbiljnosti Informational i sadržaja HEARTBEAT. Veze koje se ne upotrebljavaju prekidaju se nakon 15 minuta. Primjer poruke u dokumentu RFC 3164:
|
1.Da biste omogućili Syslog server, kliknite Više > Postavke > Syslog > Omogući slanje sysloga.
|
Svi izvezeni dnevnici dostupni su korisnicima Sysloga bez ograničenja. |
2.Odaberite jedan od sljedećih formata za poruke o događaju:
•JSON (JavaScript Object Notation)
•LEEF (Prošireni format događaja iz dnevnika) – format koji upotrebljava IBM-ova aplikacija QRadar.
•CEF (Uobičajeni format događaja)
Da biste filtrirali dnevnike događaja poslane u Syslog, stvorite obavijest o kategoriji dnevnika s definiranim filtrom.
|
Ako Syslog server nije dostupan, imajte na umu da se poruke ne spremaju i neće se slati retroaktivno, već se odbacuju. |