Отправка логов из KSMG в SIEM систему.

[SxOR2bit]

Добрый день, коллеги! Встал вопрос по получению логов(инциденты,атаки) из KSMG в Splunk. Изучил данную документацию : https://help.kaspersky.com/KSMG/1.1.2/ru-RU/151504.htm Возникли следующие вопросы

1. КСМГ сам может отправлять логи аналогично KSC или нужен какой-то внешний сервис для отправки логи?
2. После конфигурации XML файла и применения новых настроек к KSMG. А именно:

enabled=0 facility=Local0 и применения этих настроек к KSMG с команды помощью: " # sudo /opt/kaspersky/klms/bin/klms-control \ --set-settings EventLogger -n [-f|--file ] " Где находится лог файл,который я могу забрать в SIEM и как называется этот файл? 3.Если локально логи не хранятся, а сразу перенаправляются, то как верно настроить локальный rsyslog чтобы отправлять данные в Splunk. Требуется ли при этом перезагрузка сервера ? Спасибо!

[dvz]

По третьему пункту. Если SIEM умеет читать поток rsyslog, то настраивать на KSMG так: (в режиме Technical Support Mode) 1.Создать конфиг rsyslog # echo "Local0.* @@siem.address:514" > /etc/rsyslog.d/siem01.conf 2.Рестартовать rsyslog # service rsyslog restart (Мы с KSMG не берем. Берем с ексченджей которые за ним.)