Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
RUSIEM Подключение Kaspersky Secure Mail Gateway
Версия от 14:54, 10 декабря 2019; Wikiadmin (обсуждение | вклад) (→Шаг 2. Настройка импорта событий в SIEM)
Шаг 1. Переход в режим Technical Support Mode в Kaspersky Secure Mail Gateway
Чтобы перейти в режим Technical Support Mode в Kaspersky Secure Mail Gateway, выполните следующие действия:
- Откройте консоль виртуальной машины Kaspersky Secure Mail Gateway или подключитесь к ней по SSH.
- Перейдите в Technical Support Mode.
- Введите пароль администратора и нажмите на кнопку Ok.
- Нажмите на кнопку Yes.
Шаг 2. Настройка импорта событий в SIEM
- Выполнить команду /opt/kaspersky/klms/bin/klms-control --get-settings 20 -f set.xml
- В set.xml выставить <facility>Local1</facility> и <enabled>0</enabled> в указанных ниже местах
... <facility>Local1</facility> <logLevel>Info</logLevel> <maxJournalRecords>100000</maxJournalRecords> <siemSettings> <enabled>0</enabled> ...
- Выполнить /opt/kaspersky/klms/bin/klms-control --set-settings 20 -f set.xml
- Затем отредактировать /etc/rsyslog.conf добавив строчки в конец
$WorkDirectory /var/lib/rsyslog $ActionQueueFileName ForwardToSIEM $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1
local1.* @@IP:PORT Где IP:PORT - IP и port где слушает SIEM по протоколу TCP.
- Выполнить рестарт службы service rsyslog restart
