KSMG 2.0
Настройка передачи событий KSMG в KUMA
Данная инструкция применима для KSMG версии 2.0
Чтобы настроить передачу событий KSMG в KUMA:
1. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.
2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template
:
3. Убедитесь, что параметры файла /tmp/settings.xml
имеют следующие значения, при необходимости внесите изменения:
<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>
4. В файле /etc/rsyslog.conf
измените строку:*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
на
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none /var/log/messages
5. Создайте файл /var/log/ksmg-cef-messages
и настройте права доступа к нему. Для этого выполните команды:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog
следующие строки:
7. Перезапустите сервис rsyslog с помощью следующей команды:service rsyslog restart
Если вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции выше
8. В веб-интерфейсе приложения в разделе Параметры → Журналы и события → События внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.
Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.
Полезные ссылки
Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/KSMG/2.0.1/ru-RU/151504.htm