Интернет-справка ESET

Поиск English
Выберите тему

Сервер системного журнала

Если в вашей сети есть сервер системного журнала, можно экспортировать журналы в системный журнал, чтобы получать определенные события (событие обнаружения, агрегированное событие файервола, агрегированное событие системы HIPS и т. д.) с клиентских компьютеров, на которых работает решение ESET Endpoint Security.

Чтобы включить сервер системного журнала, выполните следующие действия.

1.Выберите Дополнительно > Настройки > Системный журнал и щелкните переключатель рядом с параметром Включить отправку системного журнала.

2.Укажите следующие обязательные параметры:

a.Формат полезных данных: JSON, LEEF или CEF.

b.Формат конверта журнала: BSD (спецификация), системный журнал (спецификация).

c.Минимальный уровень журнала: Информация, Предупреждение, Ошибка или Критические ошибки.

d.Тип события журналов: выберите тип журналов, который желаете добавить (Защита от вирусов, Система HIPS, Файервол, Защита доступа в Интернет, Журнал аудита, Заблокированные файлы, Предупреждения ESET Inspect).

e.Целевой IP-адрес или полное доменное имя совместимого с TLS сервера системного журнала: целевой IPv4-адрес или имя хоста для сообщений системного журнала.

f.Проверить корневые сертификаты ЦС для TLS-подключений: щелкните переключатель, чтобы включить проверку сертификата для подключения между сервером системного журнала и ESET PROTECT. После включения проверки появится новое текстовое поле, в котором можно скопировать и вставить нужную цепочку сертификатов. Сертификат сервера должен соответствовать следующим требованиям:

Вся цепочка сертификатов в формате PEM передается и сохраняется в конфигурации экспорта системного журнала (сюда входит и корневой ЦС, поскольку нет встроенных доверенных сертификатов);

Сертификат сервера системного журнала предоставляет расширение альтернативного имени субъекта (DNS=/IP=), в котором как минимум одна запись соответствует конфигурации имени хоста FQDN/IP.


note

Для прохождения проверки необходим центр сертификации версии 3 (и более поздних) с расширением сертификата "Основные ограничения".

Проверка TLS-подключений применяется только к сертификатам. Отключение этой проверки не влияет на настройки TLS решения ESET PROTECT.

После внесения соответствующих изменений щелкните Применить настройки. Конфигурация вступит в силу через 10 минут.


note

В стандартный файл журнала приложения постоянно ведется запись. Системный журнал выступает только в качестве среды для экспорта определенных асинхронных событий, таких как уведомления или различные события на клиентском компьютере.