Server Syslog

Se nella rete in uso è presente un server Syslog, è possibile Esportare i rapporti su Syslog per ricevere alcuni eventi (evento di rilevamento, evento aggregato firewall, evento aggregato HIPS, ecc.) dai computer client su cui è in esecuzione ESET Endpoint Security.

Per abilitare il server Syslog:

1.Fare clic su Altro > Impostazioni > Syslog e sul tasto di alternanza accanto a Abilita invio Syslog.

2.Specificare le seguenti impostazioni obbligatorie:

a.Formato del payload: JSON, LEEF o CEF

b.Formato della busta del rapporto: BSD (specifica), Syslog (specifica)

c.Livello minimo del rapporto: Informativo, Avvertenza, Errore o Critico

d.Tipo di evento dei rapporti: selezionare il tipo di rapporti che si desidera includere (Antivirus, HIPS, Firewall, Protezione web, Rapporto di controllo, File bloccati, Avvisi ESET Inspect).

e.IP di destinazione o FQDN del server syslog compatibile con TLS: indirizzo IPv4 o nome host della destinazione per i messaggi Syslog

f.Convalida i certificati radice dell’autorità di certificazione delle connessioni TLS: fare clic sul tasto di alternanza se si desidera abilitare la convalida del certificato per la connessione tra il server Syslog e ESET PROTECT. In seguito all’abilitazione della convalida, verrà visualizzato un nuovo campo di testo in cui è possibile copiare e incollare la catena di certificati richiesta. Il certificato del server deve soddisfare i seguenti requisiti:

•L'intera catena del certificato in formato PEM viene caricata e salvata nella configurazione delle esportazioni Syslog (include l'AC radice, in quanto non sono presenti certificati attendibili integrati)

•Il certificato del server Syslog fornisce l'estensione del nome alternativo del soggetto (DNS=/IP=), in cui almeno un record corrisponde alla configurazione del nome host FQDN/IP.

Dopo aver apportato le modifiche applicabili, fare clic su Applica impostazioni. La configurazione diventa effettiva dopo 10 minuti.