Jump to content

Recommended Posts

Добрый день!

 

Настраиваю экспорт событий в SPLUNK (Настроить экспорт в SIEM систему).

Выбрал формат syslog RFC5424 (т.к. в формате Splunk CEF экспортируются далеко не все события, которые мне нужны).

Вчера включил отправку событий, сейчас следующая проблема наблюдается - в SIEM события до сих пор идут за вчерашнее утро. Поставил на сервер KSC wireshark, вижу, что события отправляются пачками по 100 штук раз в 30 секунд. Т.е. в минуту уходит 200 событий. Такими темпами я никогда не дойду до того, что будут в SIEM получать актуальные события.

Каким-то образом регулируется параметры отправки? Откуда такое ограничение вылезло?

Share this post


Link to post
2 минуты назад, Nikolay Arinchev сказал:

Уточните, пожалуйста, какую версию KSC вы используете?

10.5.1781 (В заголовке ошибся, не KAS, а KSC)

Share this post


Link to post

Уточните, пожалуйста, пробовали ли вы экспортировать архив событий, а потом экспортировать события автоматически?

Share this post


Link to post
9 минут назад, Nikolay Arinchev сказал:

Уточните, пожалуйста, пробовали ли вы экспортировать архив событий, а потом экспортировать события автоматически?

Нет, настроил только отправку автоматически.

Share this post


Link to post

Уточните, пожалуйста, сколько событий находится у вас в базе?

При скорости передачи 200 событий/мин за одни сутки должно быть передано 288.000 событий.

Share this post


Link to post

Всего в базе с 4 сентября 15 000 000 событий. К счастью, такие старые, в SIEM не отправляются (вроде)

За 21 сентября собрано 550000

В среднем в  рабочий день собирается 1 000 000 - 1 500 000 событий, в выходные 600 000.

Share this post


Link to post

Изменить параметры отправки событий можно с помощью ветки HKLM\SOFTWARE\...\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags реестра.

KLSPLG_READ_MAX_COUNT_SF –максимальное кол-во событий читаемых из базы за одну сессию.

"KLSPLG_READ_DB_PERIOD_SF– таймаутмежду сессиями (миллисекунды).

Обратите внимание, что неправильная настройка этих параметров может значительно увеличить траффик и нагрузку на сервер.

 

Share this post


Link to post

Изменить параметры отправки событий можно с помощью ветки HKLM\SOFTWARE\...\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags реестра.

KLSPLG_READ_MAX_COUNT_SF –максимальное кол-во событий читаемых из базы за одну сессию.

"KLSPLG_READ_DB_PERIOD_SF– таймаутмежду сессиями (миллисекунды).

Обратите внимание, что неправильная настройка этих параметров может значительно увеличить траффик и нагрузку на сервер.

 

Share this post


Link to post

На первый взгляд все отлично, все подгрузилось и теперь в порядке появления событий они сразу отправляются в splunk.

Сейчас вечер и выходные, событий мало. Но, думаю, все ок

.

Edited by Lorder

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.