spl18

Доброго дня! У меня сейчас так настроено (скрины ниже), настроил неделю назад, пока разбирался с парсингом обнаружил что события сохраняются только и исключительно либо на сервере KSC (6/7 всех событий) либо улетают в SIEM по syslog (1/7 всех событий) то есть либо там либо там и делается это по не понятной закономерности в противоречии с настройками которые вы видите на скринах , можете пояснить? я настроил экспорт в SIEM всех событий сервера и политик, проверял совпадение в SIEM и в графическом интерфейсе KSC на более 15 уникальных записях, в том числе по времени просто искал, однозначно KSC либо в себя сохраняет событие либо событие отдает в SIEM а в своей баз не сохраняет.

Доброе утро! В настоящей статье Вы в .9 написали "Прямо сейчас вы можете просматривать необработанные события KSC.", вопросы: 1. Пожалуйста раскройте смысл слова "необработанные" пояснением, как понимаю из статей в help они должны быть в стандартном для splunk формате и их парсинг должен быть успешный. Статьи имел ввиду эти -https://support.kaspersky.com/help/KSC/13.2/ru-RU/151327.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/89277.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/151331.htm 2. Будьте любезны подсказать нет ли у вас "образца" или ссылки на обсуждение или источник где можно почерпнуть набор конфигурационных файлов splunk (transforms.conf, props.conf, tags.conf, eventtypes.conf и т.д.) для аддона Kaspersky Add-on for Splunk (скачать который можно по https://splunkbase.splunk.com/app/4656 Latest Version 0.1.4 April 10, 2020). Хоть он и старый этот аддон и больше не поддерживается производителем я его использую, но набор конфигов в нём не парсит события из KSC передаваемые в splunk в формате Syslog (RFC 5424) - печаль, полагаю вы наверно сталкивались с такой ситуацией и есть решения, моих неглубоких знаний хватит конечно конфиги поравить но это будет очень медленно, надеюсь на быстрые решения и помощь) Доп пояснения: * Использую SIEM SPLUNK (пока тренюсь на бесплатной версии , с ограничением по количеству экспортируемых событий) * У нас лицензионный KSC 13.2, лицензия позволяет транслировать в SIEM как в формате CEF так и в формате Syslog (RFC 5424), я выбрал последний, настроил экспорт по UDP протоколу, выбрал экспортируемые события на KSC и в политиках групп, настроил коннектор на индексере splunk, всё отлично накапливается и отображается при поиске в splunk в виде и формате как у Вас на последнем скрине, именно в виде необработанных событий, то есть парсинг не работает(

Доброго вечера! В настоящей статье Вы в .9 написали "Прямо сейчас вы можете просматривать необработанные события KSC.", вопросы: 1. Пожалуйста раскройте смысл слова "необработанные" пояснением, как понимаю из статей в help они должны быть в стандартном для splunk формате и их парсинг должен быть успешный. Статьи имел ввиду эти -https://support.kaspersky.com/help/KSC/13.2/ru-RU/151327.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/89277.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/151331.htm 2. Будьте любезны подсказать нет ли у вас "образца" или ссылки на обсуждение или источник где можно почерпнуть набор конфигурационных файлов splunk (transforms.conf, props.conf, tags.conf, eventtypes.conf и т.д.) для аддона Kaspersky Add-on for Splunk (скачать который можно по https://splunkbase.splunk.com/app/4656 Latest Version 0.1.4 April 10, 2020). Хоть он и старый этот аддон и больше не поддерживается производителем я его использую, но набор конфигов в нём не парсит события из KSC передаваемые в splunk в формате Syslog (RFC 5424) - печаль, полагаю вы наверно сталкивались с такой ситуацией и есть решения, моих неглубоких знаний хватит конечно конфиги поравить но это будет очень медленно, надеюсь на быстрые решения и помощь) Доп пояснения: * Использую SIEM SPLUNK (пока тренюсь на бесплатной версии , с ограничением по количеству экспортируемых событий) * У нас лицензионный KSC 13.2, лицензия позволяет транслировать в SIEM как в формате CEF так и в формате Syslog (RFC 5424), я выбрал последний, настроил экспорт по UDP протоколу, выбрал экспортируемые события на KSC и в политиках групп, настроил коннектор на индексере splunk, всё отлично накапливается и отображается при поиске в splunk в виде и формате как у Вас на последнем скрине, именно в виде необработанных событий, то есть парсинг не работает(