Доброе утро!
В настоящей статье Вы в .9 написали "Прямо сейчас вы можете просматривать необработанные события KSC.", вопросы:
1. Пожалуйста раскройте смысл слова "необработанные" пояснением, как понимаю из статей в help они должны быть в стандартном для splunk формате и их парсинг должен быть успешный. Статьи имел ввиду эти -https://support.kaspersky.com/help/KSC/13.2/ru-RU/151327.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/89277.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/151331.htm
2. Будьте любезны подсказать нет ли у вас "образца" или ссылки на обсуждение или источник где можно почерпнуть набор конфигурационных файлов splunk (transforms.conf, props.conf, tags.conf, eventtypes.conf и т.д.) для аддона Kaspersky Add-on for Splunk (скачать который можно по https://splunkbase.splunk.com/app/4656 Latest Version 0.1.4 April 10, 2020). Хоть он и старый этот аддон и больше не поддерживается производителем я его использую, но набор конфигов в нём не парсит события из KSC передаваемые в splunk в формате Syslog (RFC 5424) - печаль, полагаю вы наверно сталкивались с такой ситуацией и есть решения, моих неглубоких знаний хватит конечно конфиги поравить но это будет очень медленно, надеюсь на быстрые решения и помощь)
Доп пояснения:
* Использую SIEM SPLUNK (пока тренюсь на бесплатной версии , с ограничением по количеству экспортируемых событий)
* У нас лицензионный KSC 13.2, лицензия позволяет транслировать в SIEM как в формате CEF так и в формате Syslog (RFC 5424), я выбрал последний, настроил экспорт по UDP протоколу, выбрал экспортируемые события на KSC и в политиках групп, настроил коннектор на индексере splunk, всё отлично накапливается и отображается при поиске в splunk в виде и формате как у Вас на последнем скрине, именно в виде необработанных событий, то есть парсинг не работает(