Перейти к содержанию
Встреча клуба на Новогодней ярмарке

KSMG. CEF-логи. Graylog. нет имени хоста в логе

aleksandr.v

Автор aleksandr.v,
в Помощь по корпоративным продуктам

 Share Подписчики 0

Рекомендуемые сообщения

aleksandr.v

aleksandr.v 0

Опубликовано
Опубликовано (изменено)

Добрый день.

Используем KSMG версии 2.

Подключили CFE-логирование на удаленный лог-сервер. В логах не видно имени машины с которой отправляются логи (поле "source" логируется как "KSMG:" ). При логировании локально в файл, к  KSMG: еще дописывается имя хоста (KSMG: hostname). На лог-сервере поднят штатный CFE-инпут (из коробки. на разный версиях грэйлога результат логирования одинаков).

Не пойму в чем может быть причина такого логирования. Может кто подскажет причину и как ее исправить?

 

----- настройка rsyslog

$ActionQueueFileName ForwardToSIEM

$ActionQueueMaxDiskSpace 1g

$ActionQueueSaveOnShutdown on

$ActionQueueType LinkedList

$ActionResumeRetryCount -1 .* @@:log-server.local:5555


--- настройка event_logger.json.template
"siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info", }

 

Изменено пользователем aleksandr.v
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Вадимко
      KSMG и IOC
      От Вадимко
      Добрый день всем!
      Мы получаем индикаторы компрометации (IOC) в виде хэшей от Финцетра, НКЦИ и пр. в виде хэшей.
      Ни в руководствах, ни на форуме не нашел ответа на вопрос, который заключается в следующем: везде описывают обновление KSMG с использованием сервера Касперского. Интересует, можно ли как-то ручками сформировать файл  (IOC) обновления KSMG  и засунуть в него хэш индикатора компрометации в виде хэша? Или такое не возможно для KSMG, но возможно например для KATA или для KES?
    • AndreyS
      KSMG 2.0 обновление MR1
      От AndreyS
      Всем привет! Сидим на версии 2.0.0.6478. Кто-то ставил уже обновление MR1 (2.0.1.6960) на кластер? Замечены ли проблемы?
    • keruihelpru
      KSMG 2.0 Настройка proxy protocol
      От keruihelpru
      Доброго времени суток.
       
      Есть haproxy для балансировки и reverse proxy, за ним ksmg. Столкнулся с проблемой, что в журналах (фильтрах и проч.), при получении входящего SMTP-трафика адресом отправителя указывается мой прокси-сервер, что явно не годится. Со стороны haproxy настроил proxy protocol для передачи информации об отправителе на ksmg, как тоже самое сделать на ksmg?
    • Alex7676
      KSMG 2.0 не принимает почту от доменов 3 уровня
      От Alex7676
      Добрый день!
      установили новый KSMG 2.0, и по какой то причине, он не принимает почту на домены 3 уровня, хотя в списке доменов они прописаны... (на предыдущей версии принималось без проблем) в чем может быть причина? в логах видим следующею ошибку 450 4.1.2 <client.123@qqq.qqq-ppppp.ru>: Recipient address rejected: Domain not found;... в настройках доменов - домен qqq.qqq-ppppp.ru присутствует как локальный, тип домен
      спасибо!
    • inkostin
      KSMG 2.0
      От inkostin
      Добрый день.
       
      Когда выложат обновление с версии Upgrade from Version 1.1.2.30 до версии  2.0.0.6478?
      И будет ли оно?
×
×
  • Создать...