Exportar relatórios para Syslog
O ESET PROTECT pode exportar certos relatórios/eventos e enviá-los ao seu Servidor Syslog. Eventos das seguintes categorias de relatório estão sendo exportados para o servidor Syslog: Detecção, Firewall, HIPS, Auditoria e ESET Inspect. Eventos são gerados em qualquer computador cliente gerenciado executando o produto ESET (por exemplo, ESET Endpoint Security). Esses eventos podem ser processados por qualquer solução SIEM (Informações de Segurança e Gerenciamento de Eventos - Security Information and Event Management) capaz de importar eventos de um servidor Syslog. Os eventos são escritos no servidor Syslog pelo ESET PROTECT.
|
Certifique-se de que seu servidor Syslog é compatível com a codificação UTF-8 BOM de mensagens Syslog. |
|
O tamanho máximo de uma mensagem é definido como 8 KB. Mensagens com mais de 8000 caracteres serão encurtadas automaticamente. |
|
Mensagens de pulsação Com a transição para conexões permanentes com o servidor syslog dos clientes, as mensagens de pulsação são enviadas a cada 1 a 3 minutos para manter a conexão aberta. As mensagens de pulsação são mensagens de syslog regulares com facilidade local7, gravidade Informational e conteúdo HEARTBEAT. As conexões não utilizadas são fechadas após 15 minutos. Exemplo de mensagem no RFC 3164:
|
1.Para ativar o Servidor Syslog, clique em Mais > Configurações > Syslog > Ativar envio de Syslog.
|
Todos os relatórios exportados estão disponíveis para usuários Syslog sem limitações. |
2.Escolha um dos seguintes formatos para mensagens de eventos:
•JSON (Notação de Objeto do JavaScript)
•LEEF (Formato de relatório de evento estendido) - formato usado pelo aplicativo QRadar da IBM.
•CEF (Formato de evento comum)
Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido.
|
Esteja ciente de que, se o servidor Syslog não estiver acessível, as mensagens não serão armazenadas e não serão enviadas retrospectivamente; elas serão descartadas. |