Сервер syslog

Якщо у вашій мережі запущено сервер Syslog, можна ввімкнути Експорт журналів до Syslog, щоб, наприклад, отримувати дані про певні події (виявлення об’єктів, сукупна подія брандмауера, сукупна подія HIPS тощо) від клієнтських комп’ютерів, на яких працює ESET Endpoint Security.

Порядок увімкнення сервера Syslog

1.Натисніть Докладніше > Параметри > Syslog, а потім – перемикач біля пункту Увімкнути надсилання системного журналу.

2.Укажіть наступні обов’язкові параметри:

a.Формат корисного навантаження: формат JSON, LEEF або CEF

b.Формат конверта для журналу: BSD (специфікація), Syslog (специфікація)

c.Мінімальний рівень журналу: інформація, попередження, помилка або критичні помилки

d.Тип події журналів: виберіть тип журналів, які потрібно вести (антивірус, HIPS, брандмауер, веб-захист, журнал аудиту, заблоковані файли, сповіщення ESET Inspect).

e.IP-адреса призначення або FQDN сервера системного журналу, сумісного з TLS: (IPv4-адреса або ім’я хоста пункту призначення для повідомлень Syslog)

f.Перевірка кореневих сертифікатів CA TLS-підключень: натисніть перемикач, щоб увімкнути перевірку сертифіката для підключення між сервером Syslog і ESET PROTECT. Після ввімкнення перевірки буде відображатися нове текстове поле, куди можна буде вставити потрібний ланцюжок сертифікатів (попередньо скопійований). Сертифікат сервера має відповідати таким вимогам:

•Весь ланцюжок сертифікатів у форматі PEM передається в конфігурацію експорту Syslog і зберігається в ній. Це стосується кореневих сертифікатів CA, оскільки немає вбудованих довірених сертифікатів.

•Ваш сертифікат сервера Syslog надає розширення альтернативного імені теми (DNS=/IP=), у якому принаймні один запис відповідає конфігурації FQDN/IP-адреси хоста.

Після внесення потрібних змін клацніть Застосувати параметри. Конфігурація набуває чинності за 10 хвилин.