Перейти к содержанию

KSMG. CEF-логи. Graylog. нет имени хоста в логе


Рекомендуемые сообщения

Добрый день.

Используем KSMG версии 2.

Подключили CFE-логирование на удаленный лог-сервер. В логах не видно имени машины с которой отправляются логи (поле "source" логируется как "KSMG:" ). При логировании локально в файл, к  KSMG: еще дописывается имя хоста (KSMG: hostname). На лог-сервере поднят штатный CFE-инпут (из коробки. на разный версиях грэйлога результат логирования одинаков).

Не пойму в чем может быть причина такого логирования. Может кто подскажет причину и как ее исправить?

 

----- настройка rsyslog

$ActionQueueFileName ForwardToSIEM

$ActionQueueMaxDiskSpace 1g

$ActionQueueSaveOnShutdown on

$ActionQueueType LinkedList

$ActionResumeRetryCount -1 .* @@:log-server.local:5555


--- настройка event_logger.json.template
"siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info", }

 

Изменено пользователем aleksandr.v
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Pavel Postnikov
      Автор Pavel Postnikov
      Проблема заключается в том что при нормально установленных и рабочих агенте и клиенте (полностью работоспособных) хост не переносится
      в другую группу.
      Удаляли клиент. С работающим агентом переносили хост в другую группу (переносится) а после установки клиента возвращается в исходную
      при этом невозможно перетащить хост в другую группу.
      Хосты сервера в кластере.
    • adminuniscan
      Автор adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • Evgeny16
      Автор Evgeny16
      Здравствуйте, я конечно понимаю что это не совсем вирус, но у меня только остался один шанс на вас, данная ошибка появилась после введения скрипта в AutoLogger, после это могу создать только папку от имени админа, файлы приклепляю ниже


      CollectionLog-2025.02.18-19.24.zip
    • Ilya45
      Автор Ilya45
      Доброго времени суток.
      Зашифровали сегодня файлы на компе, ночью, предположительно подключились через рдп, вырубили каспера иначе думаю не отключить. винда 7.
      log.zip - логи под пользователем где все зашифровано,
      log2.zip - логи под созданным пользователем(добавил нового сам). со всеми галками в программе.
      files.zip - файл исходный и зашифрованный, плюс тхт с сообщением.
      log.zip files.zip log2.zip
    • ершик
×
×
  • Создать...