Skip to main content

KLMS

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm

Настройка передачи событий KLMS в KUMA

Чтобы настроить передачу событий KLMS в KUMA:

1. Подключитесь к серверу KLMS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

2. С помощью утилиты klms-control выгрузите настройки в файл settings.xml:

sudo /opt/kaspersky/klms/bin/klms-control --get-settings EventLogger -n -f /tmp/settings.xml

3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:

<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>

4. Примените настройки с помощью следующей команды:

sudo /opt/kaspersky/klms/bin/klms-control --set-settings EventLogger -n -f /tmp/settings.xml

5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf.

$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>

6. Сохраните внесённые изменения.

7. Перезапустите сервис rsyslog с помощью следующей команды:

sudo systemctl restart rsyslog.service

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KLMS.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KLMS.

2. На шаге Парсинг событий выберите нормализатор [OOTB] KLMS syslog CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка получения событий KLMS (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm