SYSLOG-профили

<< Кликните, чтобы показать Содержание >>

Руководство Администратора | CHM EPUB PDF A4/Letter   

SYSLOG-профили

SYSLOG-профили служат для доставки результатов анализа перехваченных объектов системам-потребителям, принимающим данные о событиях через SYSLOG-сервер (как правило, это SIEM-системы).

SYSLOG-строка может быть сформирована как в результате работы фильтра службы EtherSensor Analyser, так и посредством обработки перехваченного объекта заранее подготовленным Lua-скриптом.

Использование Lua-скриптов позволяет в реальном времени подготовить данные в специфическом для любой SIEM-системы формате без так называемых "коннекторов".

admin_guide-03-settings-results-delivery-profiles-siem-syslog-1

Рис.51. Настройки SYSLOG-профилей.

1. Название и статус

Название профиля:

Удобное, запоминающееся и информативное название профиля (на усмотрение администратора).

Активен:

Транспортный профиль не используется в передаче сообщений, если он отключен.

Профиль используется по умолчанию:

"Да" означает, что данный профиль транспортировки результатов используется по умолчанию.

Комментарий:

Описание транспортного профиля.

2. Настройки SYSLOG

Адрес SYSLOG-сервера:

IP-адрес или имя SYSLOG-сервера для доставки результатов.

Порт:

Порт SYSLOG-сервера для отправки сообщений.

TCP:

Позволяет использовать TCP-протокол для отправки сообщений на SYSLOG-сервер. Необходимо, если используется SSL-шифрование при передаче сообщений системе-потребителю.

Отправка на SYSLOG-сервер через SSL работает только при включенном TCP.

SSL:

Включить/выключить использование SSL-шифрования при передаче сообщений.

Держать соединение:

Отправлять все сообщения в одном соединении с сервером. Если данный параметр выключен, то каждое отправляемое сообщение будет отправлено в отдельном TCP-соединении.

3. Формат сообщения

Скрипт:

Имя файла Lua-скрипта, который будет использоваться для формирования сообщения SYSLOG-серверу. Файл скрипта должен находиться в подпапке \scripts.

4. Обработка ошибок

Таймаут после отказа:

Таймаут в секундах для повторной попытки доставки сообщений в случае отказа приёмника.

5. Для GROUP-профилей

Вес:

Вес профиля (от 1 до 10) задаёт пропорцию распределения сообщений между профилями и используется только если данный профиль включен в GROUP-профиль.

Резервный профиль:

Включить или выключить использование профиля как резервного. Если этот флаг включён, то доставка сообщений с использованием данного профиля будет задействована в случае отказа основных (не резервных) транспортных профилей. Параметр действителен только в составе GROUP-профилей.