Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
RUSIEM Подключение Kaspersky Secure Mail Gateway
Версия от 14:54, 10 декабря 2019; Wikiadmin (обсуждение | вклад) (→Шаг 2. Настройка импорта событий в SIEM)
Шаг 1. Переход в режим Technical Support Mode в Kaspersky Secure Mail Gateway
Чтобы перейти в режим Technical Support Mode в Kaspersky Secure Mail Gateway, выполните следующие действия:
- Откройте консоль виртуальной машины Kaspersky Secure Mail Gateway или подключитесь к ней по SSH.
- Перейдите в Technical Support Mode.
- Введите пароль администратора и нажмите на кнопку Ok.
- Нажмите на кнопку Yes.
Шаг 2. Настройка импорта событий в SIEM
- Выполнить команду /opt/kaspersky/klms/bin/klms-control --get-settings 20 -f set.xml
- В set.xml выставить <facility>Local1</facility> и <enabled>0</enabled> в указанных ниже местах
...
<facility>Local1</facility>
<logLevel>Info</logLevel>
<maxJournalRecords>100000</maxJournalRecords>
<siemSettings>
<enabled>0</enabled>
...
- Выполнить /opt/kaspersky/klms/bin/klms-control --set-settings 20 -f set.xml
- Затем отредактировать /etc/rsyslog.conf добавив строчки в конец
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @@IP:PORT
Где IP:PORT - IP и port где слушает SIEM по протоколу TCP.
- Выполнить рестарт службы service rsyslog restart
