將防護記錄匯出為系統日誌
ESET PROTECT 可以匯出特定的防護記錄/事件,並將它們傳送至您的系統日誌伺服器。下列防護記錄類別中的事件將匯出至系統日誌伺服器:偵測、防火牆、HIPS、審查及 ESET Inspect。事件會在任何執行 ESET 產品 (例如 ESET Endpoint Security) 的受管理用戶端電腦上產生。任何安全性資訊和事件管理 (SIEM) 解決方案都可以從系統日誌伺服器匯入事件,因此可處理這些事件。事件會由 ESET PROTECT 寫入系統日誌伺服器。
|
確保您的系統日誌伺服器支援系統日誌訊息的 UTF-8 BOM 編碼。 |
|
訊息的大小上限設定為 8 KB。長度超過 8000 個字元的訊息將會自動縮短。 |
|
活動訊號訊息 隨著轉換到與用戶端系統日誌伺服器的永久連線,系統會每 1–3 分鐘傳送活動訊號訊息以保持連線暢通。活動訊號訊息是具有設備 local7、嚴重性 Informational 和內容 HEARTBEAT 一般系統日誌訊息。未使用的連線會在 15 分鐘之後關閉。 RFC 3164 的範例訊息:
|
1.若要啟用 系統日誌伺服器,按一下 [更多] > [設定] > [系統日誌] > [啟用系統日誌傳送].。
|
所有匯出的防護記錄皆可供系統日誌使用者無限制使用。 |
2.為事件訊息選擇下列其中一種格式:
•JSON (JavaScript 物件標記法)
•LEEF (防護記錄事件延伸格式) - IBM 應用程式 QRadar 所使用的格式。
•CEF (通用事件格式)
若要過濾傳送至系統日誌的事件防護記錄,請使用已定義的過濾器來建立防護記錄類別通知。
|
請注意,如果無法存取系統日誌伺服器,則不會儲存訊息,也不會追溯傳送;其已捨棄。 |