Экспорт журналов в системный журнал

Скопировать URL-адрес текущей статьи Поделиться по электронной почте

ESET PROTECT может экспортировать определенные журналы и/или события и отправить их на ваш сервер системного журнала. Экспорт событий, которые находятся в следующих категориях журналов, на сервер системных журналов: Обнаружение, Файервол, Система HIPS, Аудит и ESET Inspect. События создаются на любом управляемом клиентском компьютере, где работает продукт ESET (например, ESET Endpoint Security). Эти события может обрабатывать любое решение, которое использует технологию управления информационной безопасностью и событиями безопасности (SIEM) и которое может импортировать события с сервера системного журнала. События на сервер системного журнала записывает продукт ESET PROTECT.

Убедитесь, что ваш сервер системного журнала поддерживает кодировку UTF-8 BOM для сообщений системного журнала.

Максимальный размер сообщения составляет 8 КБ. Сообщения длиной более 8000 символов будут автоматически укорочены.

Сообщения о работоспособности

В связи с переходом на постоянные подключения к серверу системного журнала клиентов каждые 1–3 минуты отправляются сообщения о работоспособности, чтобы соединение оставалось открытым. Сообщения о работоспособности — это регулярные сообщения системного журнала, в которых указывается средство формирования local7, серьезность Informational и содержимое HEARTBEAT. Неиспользуемые соединения закрываются через 15 минут.

Пример сообщения в RFC 3164:

\u003C190\u003EAug 12 09:58:13 - ERAServer[16238]: HEARTBEAT"

1.Чтобы включить сервер системного журнала, щелкните Еще > Настройки > Системный журнал > Включить отправку системного журнала.

Все экспортированные журналы доступны для пользователей системного журнала без ограничений.

2.Выберите один из следующих форматов для сообщений о событиях:

•JSON (нотация объектов JavaScript);

•LEEF (Log Event Extended Format) — формат, используемый приложением IBM QRadar.

•CEF (Common Event Format, общий формат событий)

Для фильтрации журналов событий, отправленных в системный журнал, создайте уведомление о категории журнала с заданным фильтром.

Обратите внимание, что если сервер системного журнала недоступен, сообщения не сохраняются и не будут отправлены ретроспективно, а будут удалены.

˄˅