Eksportowanie dzienników do programu Syslog

Skopiuj adres URL bieżącego artykułu Udostępnij przez e-mail

Ten artykuł (PDF) Cała dokumentacja (PDF)

Program ESET PROTECT umożliwia eksportowanie określonych dzienników/zdarzeń i wysłanie ich na serwer Syslog. Zdarzenia z następujących kategorii dzienników są eksportowane do serwera programu Syslog: Wykrycie, zapora, system HIPS, audyt i ESET Inspect. Zdarzenia są generowane na zarządzanym komputerze klienckim z uruchomionym produktem firmy ESET (np. ESET Endpoint Security). Zdarzenia te można przetwarzać przy użyciu dowolnych rozwiązań SIEM (Security Information and Event Management — zarządzanie informacjami i zdarzeniami bezpieczeństwa informatycznego), w których można importować zdarzenia z serwera Syslog. Zdarzenia są zapisywane na serwerze Syslog przez program ESET PROTECT.

Upewnij się, czy serwer dziennika systemowego obsługuje kodowanie BOM UTF-8 komunikatów dziennika systemowego.

Maksymalny rozmiar wiadomości jest ustawiony na 8 kB. Wiadomości dłuższe niż 8000 znaków będą automatycznie skracane.

Komunikaty pulsowe

Wraz z przejściem na stałe połączenia z serwerem dzienników systemowych klientów komunikaty pulsowe są wysyłane co 1–3 minuty, aby połączenie było otwarte. Komunikaty pulsowe to zwykłe komunikaty dziennika systemowego z obiektem local7, ważnością Informational i zawartością HEARTBEAT. Nieużywane połączenia są zamykane po 15 minutach.

Przykładowy komunikat w RFC 3164:

\u003C190\u003EAug 12 09:58:13 - ERAServer[16238]: HEARTBEAT"

1.Aby włączyć serwer dziennika systemowego, kliknij pozycję Więcej > Ustawienia > Dziennik systemowy > Włącz wysyłanie dziennika systemowego.

Wszystkie wyeksportowane dzienniki są dostępne dla użytkowników Syslog bez ograniczeń.

2.Wybierz jeden z poniższych formatów wiadomości o zdarzeniach:

•JSON (JavaScript Object Notation)

•LEEF (Log Event Extended Format) — format używany przez aplikację Qradar firmy IBM.

•CEF (Format zdarzenia typowego, ang. Common Event Format)

Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem.

Należy pamiętać, że jeśli serwer dziennika systemowego jest nieosiągalny, wiadomości nie są przechowywane i nie będą wysyłane retrospektywnie; są one odrzucane.

˄˅