Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
RUSIEM Подключение Kaspersky Secure Mail Gateway: различия между версиями
Перейти к навигации
Перейти к поиску
Wikiadmin (обсуждение | вклад) |
Wikiadmin (обсуждение | вклад) |
||
| (не показана 1 промежуточная версия этого же участника) | |||
| Строка 16: | Строка 16: | ||
==Шаг 2. Настройка импорта событий в SIEM== | ==Шаг 2. Настройка импорта событий в SIEM== | ||
| + | |||
| + | *Выполнить команду /opt/kaspersky/klms/bin/klms-control --get-settings 20 -f set.xml | ||
| + | *В set.xml выставить <facility>Local1</facility> и <enabled>0</enabled> в указанных ниже местах | ||
| + | |||
| + | ... | ||
| + | |||
| + | <facility>Local1</facility> | ||
| + | |||
| + | <logLevel>Info</logLevel> | ||
| + | |||
| + | <maxJournalRecords>100000</maxJournalRecords> | ||
| + | |||
| + | <siemSettings> | ||
| + | |||
| + | <enabled>0</enabled> | ||
| + | |||
| + | ... | ||
| + | |||
| + | *Выполнить /opt/kaspersky/klms/bin/klms-control --set-settings 20 -f set.xml | ||
| + | *Затем отредактировать /etc/rsyslog.conf добавив строчки в конец | ||
| + | $WorkDirectory /var/lib/rsyslog | ||
| + | |||
| + | $ActionQueueFileName ForwardToSIEM | ||
| + | |||
| + | $ActionQueueMaxDiskSpace 1g | ||
| + | |||
| + | $ActionQueueSaveOnShutdown on | ||
| + | |||
| + | $ActionQueueType LinkedList | ||
| + | |||
| + | $ActionResumeRetryCount -1 | ||
| + | |||
| + | local1.* @@IP:PORT | ||
| + | |||
| + | Где IP:PORT - IP и port где слушает SIEM по протоколу TCP. | ||
| + | *Выполнить рестарт службы service rsyslog restart | ||
| + | |||
| + | ==Шаг 3. Проверить работоспособность== | ||
Текущая версия на 14:54, 10 декабря 2019
Шаг 1. Переход в режим Technical Support Mode в Kaspersky Secure Mail Gateway
Чтобы перейти в режим Technical Support Mode в Kaspersky Secure Mail Gateway, выполните следующие действия:
- Откройте консоль виртуальной машины Kaspersky Secure Mail Gateway или подключитесь к ней по SSH.
- Перейдите в Technical Support Mode.
- Введите пароль администратора и нажмите на кнопку Ok.
- Нажмите на кнопку Yes.
Шаг 2. Настройка импорта событий в SIEM
- Выполнить команду /opt/kaspersky/klms/bin/klms-control --get-settings 20 -f set.xml
- В set.xml выставить <facility>Local1</facility> и <enabled>0</enabled> в указанных ниже местах
...
<facility>Local1</facility>
<logLevel>Info</logLevel>
<maxJournalRecords>100000</maxJournalRecords>
<siemSettings>
<enabled>0</enabled>
...
- Выполнить /opt/kaspersky/klms/bin/klms-control --set-settings 20 -f set.xml
- Затем отредактировать /etc/rsyslog.conf добавив строчки в конец
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @@IP:PORT
Где IP:PORT - IP и port где слушает SIEM по протоколу TCP.
- Выполнить рестарт службы service rsyslog restart
