KSMG 2.0
Настройка передачи событий KSMG в KUMA
Данная инструкция применима для KSMG версии 1.12.0
Чтобы настроить передачу событий KSMG в KUMA:
1. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.
2. С помощью утилиты ksmg-control выгрузВнесите следующие изменастройкения в файл с параметрами экспорта событий settings.xml:sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xmlshare/templates/core_settings/event_logger.json.template
3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:
<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>4. ПрВ файле /etc/rsyslog.conf измените настройки с помощью следующей команды:sudo*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /opt/kaspersky/ksmg/bin/ksmg-controlvar/log/messages
на
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none /tmp/settings.xmlvar/log/messages
5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf.
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:
local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>6. Сохраните внесённые изменения.
7. Перезапустите сервис rsyslog с помощью следующей команды:sudo systemctl restart rsyslog.service
Полезные ссылки
Настройка получения событий KSMG (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254785.htm
Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/KSMG/2.0.1/ru-RU/151504.htm