Експорт журналів у syslog
ESET PROTECT може експортувати певні журнали/події та відправити їх на ваш сервер Syslog. На сервер Syslog експортуються події з наведених нижче категорій журналів: Виявлення, брандмауер, HIPS, аудит і ESET Inspect. Події генеруються на керованих клієнтських комп’ютерах із продуктами ESET (наприклад, ESET Endpoint Security). Ці події можна обробляти будь-яким рішення для керування захистом інформації (SIEM), здатним імпортувати події з сервера Syslog. ESET PROTECT Записує події на сервер Syslog.
|
Переконайтеся, що ваш сервер Syslog підтримує кодування BOM UTF-8 для повідомлень Syslog. |
|
Максимальний розмір повідомлення встановлено на 8 КБ. Повідомлення довжиною понад 8000 символів буде автоматично скорочено. |
|
Повідомлення контрольного сигналу З переходом на постійне з’єднання з клієнтським сервером syslog кожні 1–3 хвилини надсилаються повідомлення контрольного сигналу, щоб підтримувати з’єднання відкритим. Повідомлення контрольного сигналу — це звичайні повідомлення syslog з об’єктом local7, серйозністю Informational і вмістом HEARTBEAT. Невикористовувані з’єднання закриваються через 15 хвилин. Приклад повідомлення в RFC 3164:
|
1.Щоб увімкнути сервер системного журналу, натисніть Докладніше > Параметри > Системний журнал > Увімкнути надсилання системного журналу.
|
Усі експортовані журнали доступні користувачам Syslog без обмежень. |
2.Виберіть один із форматів повідомлень про події:
•JSON (JavaScript Object Notation)
•LEEF (Log Event Extended Format) – формат, що використовується програмою IBM QRadar.
•CEF (загальний формат події)
Щоб відфільтрувати журнали подій, надіслані в Syslog, створіть сповіщення про категорію журналу з визначеним фільтром.
|
Зверніть увагу: якщо сервер Syslog недоступний, повідомлення не зберігаються й не будуть відправлені заднім числом. Такі повідомлення відхиляються. |