Esporta rapporti su Syslog
ESET PROTECT consente di esportare alcuni rapporti/eventi e di inviarli al server Syslog. Sul server Syslog vengono esportati gli eventi dalle seguenti categorie di rapporti: Rilevamento, Firewall, HIPS, Audit ed ESET Inspect. Gli eventi sono generati sui computer client gestiti su cui è in esecuzione un prodotto ESET (ad esempio, ESET Endpoint Security). Questi eventi possono essere elaborati da qualsiasi soluzione "Security Information and Event Management" (SIEM) in grado di eseguire l'importazione di eventi da un server Syslog. Gli eventi sono scritti sul server Syslog da ESET PROTECT.
|
Assicurarsi che il server Syslog supporti la codifica UTF-8 BOM dei messaggi Syslog. |
|
La dimensione massima di un messaggio è impostata su 8 KB. I messaggi più lunghi di 8000 caratteri verranno automaticamente abbreviati. |
|
Messaggi heartbeat Con il passaggio alle connessioni permanenti al server syslog dei client, i messaggi heartbeat vengono inviati ogni 1-3 minuti per mantenere aperta la connessione. I messaggi heartbeat sono normali messaggi syslog con funzione local7, gravità Informational (Informazione) e contenuto HEARTBEAT. Le connessioni non utilizzate vengono chiuse dopo 15 minuti. Messaggio di esempio in RFC 3164:
|
1.Per abilitare il server Syslog, fare clic su Altro > Impostazioni > Syslog > Abilita invio Syslog.
|
Tutti i rapporti esportati sono disponibili per gli utenti Syslog senza limitazioni. |
2.Scegliere uno dei seguenti formati per i messaggi di evento:
•JSON (JavaScript Object Notation)
•LEEF (Log Event Extended Format): formato utilizzato dall'applicazione QRadar di IBM.
•CEF (Common Event Format)
Per filtrare i rapporti degli eventi inviati a Syslog, creare una notifica della categoria di rapporti con un filtro definito.
|
Tenere presente che se il server Syslog non è raggiungibile, i messaggi non vengono memorizzati e non verranno inviati retroattivamente, ma scartati. |