Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
RUSIEM Подключение Kaspersky Secure Mail Gateway: различия между версиями
Перейти к навигации
Перейти к поиску
Wikiadmin (обсуждение | вклад) |
Wikiadmin (обсуждение | вклад) |
||
| Строка 19: | Строка 19: | ||
*Выполнить команду /opt/kaspersky/klms/bin/klms-control --get-settings 20 -f set.xml | *Выполнить команду /opt/kaspersky/klms/bin/klms-control --get-settings 20 -f set.xml | ||
*В set.xml выставить <facility>Local1</facility> и <enabled>0</enabled> в указанных ниже местах | *В set.xml выставить <facility>Local1</facility> и <enabled>0</enabled> в указанных ниже местах | ||
| + | |||
... | ... | ||
| + | |||
<facility>Local1</facility> | <facility>Local1</facility> | ||
| + | |||
<logLevel>Info</logLevel> | <logLevel>Info</logLevel> | ||
| + | |||
<maxJournalRecords>100000</maxJournalRecords> | <maxJournalRecords>100000</maxJournalRecords> | ||
| + | |||
<siemSettings> | <siemSettings> | ||
| + | |||
<enabled>0</enabled> | <enabled>0</enabled> | ||
| + | |||
... | ... | ||
| + | |||
*Выполнить /opt/kaspersky/klms/bin/klms-control --set-settings 20 -f set.xml | *Выполнить /opt/kaspersky/klms/bin/klms-control --set-settings 20 -f set.xml | ||
*Затем отредактировать /etc/rsyslog.conf добавив строчки в конец | *Затем отредактировать /etc/rsyslog.conf добавив строчки в конец | ||
$WorkDirectory /var/lib/rsyslog | $WorkDirectory /var/lib/rsyslog | ||
| + | |||
$ActionQueueFileName ForwardToSIEM | $ActionQueueFileName ForwardToSIEM | ||
| + | |||
$ActionQueueMaxDiskSpace 1g | $ActionQueueMaxDiskSpace 1g | ||
| + | |||
$ActionQueueSaveOnShutdown on | $ActionQueueSaveOnShutdown on | ||
| + | |||
$ActionQueueType LinkedList | $ActionQueueType LinkedList | ||
| + | |||
$ActionResumeRetryCount -1 | $ActionResumeRetryCount -1 | ||
local1.* @@IP:PORT | local1.* @@IP:PORT | ||
| + | |||
Где IP:PORT - IP и port где слушает SIEM по протоколу TCP. | Где IP:PORT - IP и port где слушает SIEM по протоколу TCP. | ||
*Выполнить рестарт службы service rsyslog restart | *Выполнить рестарт службы service rsyslog restart | ||
==Шаг 3. Проверить работоспособность== | ==Шаг 3. Проверить работоспособность== | ||
Текущая версия на 14:54, 10 декабря 2019
Шаг 1. Переход в режим Technical Support Mode в Kaspersky Secure Mail Gateway
Чтобы перейти в режим Technical Support Mode в Kaspersky Secure Mail Gateway, выполните следующие действия:
- Откройте консоль виртуальной машины Kaspersky Secure Mail Gateway или подключитесь к ней по SSH.
- Перейдите в Technical Support Mode.
- Введите пароль администратора и нажмите на кнопку Ok.
- Нажмите на кнопку Yes.
Шаг 2. Настройка импорта событий в SIEM
- Выполнить команду /opt/kaspersky/klms/bin/klms-control --get-settings 20 -f set.xml
- В set.xml выставить <facility>Local1</facility> и <enabled>0</enabled> в указанных ниже местах
...
<facility>Local1</facility>
<logLevel>Info</logLevel>
<maxJournalRecords>100000</maxJournalRecords>
<siemSettings>
<enabled>0</enabled>
...
- Выполнить /opt/kaspersky/klms/bin/klms-control --set-settings 20 -f set.xml
- Затем отредактировать /etc/rsyslog.conf добавив строчки в конец
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @@IP:PORT
Где IP:PORT - IP и port где слушает SIEM по протоколу TCP.
- Выполнить рестарт службы service rsyslog restart
